El final de Suhosin; què és el següent?
Durant molts anys, He utilitzat amb zel Preu mitjà per nit amb qualsevol implementació de PHP5 en servidors web Apache2 o PHP-FPM Nginx per defensar-se contra la injecció de SQL i altres atacs web comuns. De fet,, PHP5 va ser tan desastrós, tant pel que fa a la seva seguretat, i les seves funcions i mòduls que mai podria haver concebut utilitzant-lo sense cap enduriment significatiu que Suhosin proporciona.
Com PHP5 es deprecia i els meus programes de llegat s'han anat, Em quedo amb una implementació de PHP7 i no hi ha pegats de Suhosin disponibles.
Encara, encara és tècnicament possible afegir Suhosin a PHP 7.0 I 7.1 (pre-alfa – no per a la producció), és just dir que el projecte ha desaparegut des de fa molt de temps i PHP7 ja va demostrar que pot ser molest com si fos el seu predecessor. Com estic pensant en una nova addició a la WAF i la seguretat principal de PHP7, aquestes són algunes de les solucions que he:
Desactivació de funcions dolentes o innecessoses
Hi ha moltes funcions arriscades construïdes dins del PHP que són potencialment perilloses i s'han de desactivar dins de 'php.ini' per defecte. Pot trobar l'arxiu de config que utilitza l'ordre sota i impossibilitar les funcions mitjançant vi o nano.
php -i | grep "php.ini"TINGUEU EN COMPTE: Si esteu executant diverses versions de PHP simultàniament o el programa s'instal·la com a part d'una altra aplicació de tercers, llavors les casualitats són altes que té 'php.ini' múltiple instal·lat i no està clar quin és carregat pel servidor web. Assegureu-vos que editeu la versió correcta (php -v (php- v)).
Afegiu la línia següent al final del fitxer 'php.ini', assegureu-vos que heu desat el fitxer, i reinicieu el servidor web. Vostè pot aprendre sobre cadascuna d'aquestes funcions PHP en aquesta adreça. Com a acció mesurada, és possible que vulgueu afegir-los un per un per assegurar-vos que no afecti negativament les vostres aplicacions.
disable_functions = popen, eval, leak, exec, shell_exec, curl_exec, curl_multi_exec, parse_ini_file, mysql_connect, system, phpinfo, escapeshellarg, escapeshellcmd, passthru, symlink, show_source, mail, sendmail, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuidDesactivació de Globals de Registre i Base64
Register Global és una funció de PHP que permet convertir les matrius d'entrada a l'URL a variable dins del codi. Per tant,, qualsevol codi potencialment vulnerable pot ser explotat per un atacant que pot passar matrius malicioses utilitzant http get o post peticions.
Els globals de registre es poden desactivar fàcilment afegint la línia següent al final de 'php.ini'. No us oblideu de reiniciar el servidor web per executar els canvis.
register_globals = OffIgual que Registra globals, Base64 és una altra característica sovint innecessària que obre la porta a portes del darrere malicioses. Podeu desactivar el descodificador Base64 permanentment afegint la línia següent al final de 'php.ini'.
base64_decode = OffExempció de responsabilitat de publicacions
Les vistes, Informació, o les opinions expressades són únicament les de l'autor i no representen necessàriament les del seu empresari o les organitzacions a les quals està afiliat.
La informació continguda en aquest post és només per a fins d'informació general. La informació és proporcionada per Farhad Mofidi i mentre s'esforça per mantenir la informació actualitzada i precisa, No fa cap representació ni garantia de cap tipus, expressa o implícita, pel que fa a la completesa, Precisió, fiabilitat, Idoneïtat o disponibilitat del lloc web. Farhad no fa cap representació ni garantia. o qualsevol informació, productes o gràfics relacionats continguts en qualsevol publicació per a qualsevol propòsit.
També, La IA es pot utilitzar com a eina per proporcionar suggeriments i millorar alguns dels continguts o frases. Les idees, Pensaments, Opinions dels, i els productes finals són originals i fets per l'autor.