El final de Suhosin; lo que sigue?

Durante muchos años, He usado con celo Suhosin con cualquier implementación de PHP5 en servidores web Apache2 o PHP-FPM Nginx para defenderse contra la inyección SQL y otros ataques web comunes. En realidad, PHP5 era tan desastroso, tanto en términos de su seguridad central, y sus funciones y módulos que nunca podría haber concebido utilizándolo sin ningún endurecimiento significativo que Suhosin proporciona.

Como PHP5 se deprecia y mis programas heredados se han ido, Me quedo con varias implementaciones de PHP7 y no hay parches Suhosin disponibles.

Aunque, todavía es técnicamente posible añadir Suhosin a PHP 7.0 Y 7.1 (pre-alfa – no para la producción), es justo decir que el proyecto se ha ido hace mucho tiempo y PHP7 ya demostró que puede ser problemático como si fuera su predecesor. Mientras pienso en una nueva adición al WAF y la seguridad central de PHP7, estas son algunas de las soluciones que vine con:

Deshabilitar funciones malas o innecesarias

Hay muchas funciones riesgosas construidas dentro del PHP que son potencialmente peligrosas y deben ser desactivadas dentro de 'php.ini' por defecto. Puede encontrar el archivo de configuración utilizando el siguiente comando y desactivar las funciones a través de vi o nano.

php -i | grep "php.ini"

TENGA EN CUENTA QUE: Si está ejecutando varias versiones de PHP simultáneamente o el programa se instala como parte de otra aplicación de terceros, entonces las posibilidades son altas de que usted tiene múltiples 'php.ini' instalado y no está claro cuál es cargado por el servidor web. Asegúrese de que está editando la versión correcta (php -v).

Agregue la línea de abajo al final del archivo 'php.ini', asegúrese de que ha guardado el archivo, y reiniciar el servidor web. Puede obtener más información sobre cada una de estas funciones PHP en esta dirección. Como medida, es posible que desee agregarlos uno por uno para asegurarse de que no afecta negativamente a sus aplicaciones.

disable_functions = popen, eval, leak, exec, shell_exec, curl_exec, curl_multi_exec, parse_ini_file, mysql_connect, system, phpinfo, escapeshellarg, escapeshellcmd, passthru, symlink, show_source, mail, sendmail, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid

Deshabilitación de Register Globals y Base64

Register Global es una función de PHP que permite que las matrices de entrada a la URL se conviertan en variables dentro de su código. por lo tanto, cualquier código potencialmente vulnerable puede ser explotado por un atacante que puede pasar matrices maliciosas usando solicitudes HTTP GET o POST.

Register Globals se puede desactivar fácilmente añadiendo la siguiente línea al final de 'php.ini'. No olvide reiniciar el servidor web para ejecutar los cambios.

register_globals = Off

Al igual que Register Globals, Base64 es otra característica a menudo innecesaria que abre la puerta en puertas traseras maliciosas. Puede desactivar el decodificador Base64 de forma permanente añadiendo la línea de abajo al final de 'php.ini'.

base64_decode = Off