Το τέλος του Σουχόσιν; Τι μέλλει γενέσθαι;?

Για πολλά χρόνια, Με ζήλο χρησιμοποίησα Σουχόσιν με οποιεσδήποτε υλοποιήσεις PHP5 σε διακομιστές ιστού Apache2 ή PHP-FPM Nginx για προστασία από την έγχυση SQL και άλλες κοινές επιθέσεις ιστού. Στην πραγματικότητα, PHP5 ήταν τόσο καταστροφική, τόσο όσον αφορά τη βασική του ασφάλεια, και τις λειτουργίες και τις ενότητες του που δεν θα μπορούσα ποτέ να διανοηθώ χρησιμοποιώντας το χωρίς καμία σημαντική σκλήρυνση που παρέχει ο Suhosin.

Καθώς η PHP5 έχει υποτιμηθεί και τα προγράμματα παλαιού τύπου μου έχουν φύγει, Έχω μείνει με πολλές εφαρμογές php7 και δεν υπάρχουν διαθέσιμα μπαλώματα Suhosin.

Αν και, εξακολουθεί να είναι τεχνικά δυνατή η προσθήκη του Suhosin στην PHP 7.0 και 7.1 (προ-άλφα – όχι για παραγωγή), είναι δίκαιο να πούμε ότι το έργο έχει φύγει εδώ και πολύ καιρό και η PHP7 έχει ήδη αποδείξει ότι μπορεί να είναι ενοχλητικό όπως ήταν ο προκάτοχός του. Καθώς σκέφτομαι μια νέα προσθήκη στο WAF και τη βασική ασφάλεια του PHP7, αυτές είναι μερικές από τις λύσεις με τις οποίες ήρθα:

Απενεργοποίηση κακών ή περιττών λειτουργιών

Υπάρχουν πολλές επικίνδυνες λειτουργίες ενσωματωμένες μέσα στην PHP που είναι δυνητικά επικίνδυνες και θα πρέπει να απενεργοποιηθούν μέσα στο «php.ini» από προεπιλογή. Μπορείτε να βρείτε το αρχείο ρυθμίσεων χρησιμοποιώντας την παρακάτω εντολή και να απενεργοποιήσετε τις λειτουργίες μέσω vi ή nano.

php -i | grep "php.ini"

ΠΑΡΑΚΑΛΩ ΣΗΜΕΙΩΣΤΕ: Εάν εκτελείτε ταυτόχρονα διάφορες εκδόσεις php ή το πρόγραμμα είναι εγκατεστημένο ως μέρος άλλης εφαρμογής τρίτου μέρους, Τότε οι πιθανότητες είναι υψηλές ότι έχετε εγκαταστήσει πολλά 'php.ini' και δεν είναι σαφές ποιο φορτώνεται από τον webserver. Βεβαιωθείτε ότι επεξεργάζεστε τη σωστή έκδοση (πζ -β).

Προσθέστε την παρακάτω γραμμή στο τέλος του αρχείου 'php.ini', Βεβαιωθείτε ότι έχετε αποθηκεύσει το αρχείο, και ξεκινήστε πάλι το διακομιστή Web. Μπορείτε να μάθετε για κάθε μία από αυτές τις λειτουργίες PHP σε αυτήν τη διεύθυνση. Ως μετρούμενη δράση, Ίσως θελήσετε να τα προσθέσετε ένα προς ένα, για να βεβαιωθείτε ότι δεν επηρεάζουν αρνητικά τις εφαρμογές σας.

disable_functions = popen, eval, leak, exec, shell_exec, curl_exec, curl_multi_exec, parse_ini_file, mysql_connect, system, phpinfo, escapeshellarg, escapeshellcmd, passthru, symlink, show_source, mail, sendmail, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid

Απενεργοποίηση καθολικών καταχωρητών και Base64

Το Register Global είναι μια λειτουργία από την PHP που επιτρέπει στους πίνακες εισόδου στη διεύθυνση URL να μετατραπούν σε μεταβλητή μέσα στον κώδικά σας. Επομένως, Οποιοσδήποτε δυνητικά ευάλωτος κώδικας μπορεί να αξιοποιηθεί από έναν εισβολέα, ο οποίος μπορεί να μεταβιβάσει κακόβουλες συστοιχίες χρησιμοποιώντας αιτήσεις HTTP GET ή POST.

Το Register Globals μπορεί εύκολα να απενεργοποιηθεί προσθέτοντας την παρακάτω γραμμή στο τέλος του 'php.ini'. Μην ξεχάσετε να επανεκκινήσετε τον διακομιστή ιστού για να εκτελέσετε τις αλλαγές.

register_globals = Off

Ακριβώς όπως εγγραφή παγκόσμιων, Το Base64 είναι ένα άλλο συχνά περιττό χαρακτηριστικό που ανοίγει την πόρτα σε κακόβουλες πίσω πόρτες. Μπορείτε να απενεργοποιήσετε μόνιμα τον αποκωδικοποιητή Base64 προσθέτοντας την παρακάτω γραμμή στο τέλος του 'php.ini'.

base64_decode = Off