Das Ende von Suhosin; was als nächstes kommt?

Seit vielen Jahren, Ich habe eifrig verwendet Suhosin mit allen Implementierungen von PHP5 auf Apache2- oder PHP-FPM Nginx-Webservern zum Schutz vor SQL-Injektion und anderen gängigen Web-Angriffen. Tatsächlich, PHP5 war so katastrophal, sowohl in Bezug auf die Kernsicherheit als auch, und seine Funktionen und Module, die ich nie hätte mit ihm ohne eine signifikante Aushärtung, die Suhosin bietet.

Da PHP5 abgeschrieben wird und meine Legacy-Programme alle weg sind, Ich habe mehrere Implementierung von PHP7 und keine verfügbaren Suhosin Patches.

Obwohl, Es ist immer noch technisch möglich, Suhosin zu PHP hinzuzufügen 7.0 Und 7.1 (pre-alpha – nicht für die Produktion), es ist fair zu sagen, dass das Projekt längst verschwunden ist und PHP7 bereits bewiesen hat, dass es kann lästig sein wie sein Vorgänger. Da ich über eine neue Ergänzung der WAF und Kernsicherheit von PHP7 nachdenke, dies sind einige der Lösungen, die ich mit:

Deaktivieren von fehlerhaften oder unnötigen Funktionen

Es gibt viele riskante Funktionen, die innerhalb des PHP gebaut sind, die potenziell gefährlich sind und standardmäßig innerhalb von 'php.ini' deaktiviert werden sollten.. Sie können die Konfigurationsdatei mit dem folgenden Befehl finden und die Funktionen über vi oder nano deaktivieren.

php -i | grep "php.ini"

BITTE BEACHTEN SIE: Wenn Sie verschiedene Versionen von PHP gleichzeitig ausführen oder das Programm als Teil einer anderen Drittanbieter-Anwendung installiert ist, Dann sind die Chancen hoch, dass Sie mehrere 'php.ini' installiert haben und es ist nicht klar, welches vom Webserver geladen wird. Stellen Sie sicher, dass Sie die richtige Version bearbeiten (php -v).

Fügen Sie die folgende Zeile am Ende der Datei 'php.ini' hinzu, Stellen Sie sicher, dass Sie die Datei gespeichert haben, und starten Sie den Webserver neu. Sie können mehr über jede dieser PHP-Funktionen erfahren an dieser Adresse. Als gemessene Aktion, Sie können sie nacheinander hinzufügen, um sicherzustellen, dass sich dies nicht negativ auf Ihre Anwendungen auswirkt.

disable_functions = popen, eval, leak, exec, shell_exec, curl_exec, curl_multi_exec, parse_ini_file, mysql_connect, system, phpinfo, escapeshellarg, escapeshellcmd, passthru, symlink, show_source, mail, sendmail, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid

Deaktivieren von Register Globals und Base64

Register Global ist eine Funktion von PHP, mit der Eingabe-Arrays in die URL in variable in Ihrem Code konvertiert werden können.. Daher, Potenziell anfälliger Code kann von einem Angreifer ausgenutzt werden, der bösartige Arrays mithilfe von HTTP GET- oder POST-Anforderungen übergeben kann.

Register Globals kann leicht deaktiviert werden, indem Sie die folgende Zeile am Ende von 'php.ini' hinzufügen.. Vergessen Sie nicht, den Webserver neu zu starten, um die Änderungen auszuführen.

register_globals = Off

Genau wie Register Globals, Base64 ist eine weitere oft unnötige Funktion, die die Tür in bösartige Hintertüren öffnen. Sie können Base64-Decoder dauerhaft deaktivieren, indem Sie die folgende Zeile am Ende von 'php.ini' hinzufügen..

base64_decode = Off