La fin de Suhosin; ce qui est ensuite?

Pendant de nombreuses années, J’ai utilisé avec zèle Suhosin avec toutes les implémentations de PHP5 sur Apache2 ou PHP-FPM Nginx webservers pour se défendre contre l’injection SQL et d’autres attaques web courantes. En fait, PHP5 a été si désastreux, tant en termes de sécurité de base, et ses fonctions et modules que je n’aurais jamais pu concevoir en l’utilisant sans un durcissement significatif que Suhosin fournit.

Comme PHP5 est amorti et mes programmes hérités ont tous disparu, Je me trouve avec plusieurs implémentations de PHP7 et pas de patchs Suhosin disponibles.

Mais, il est encore techniquement possible d’ajouter Suhosin à PHP 7.0 Et 7.1 (pré-alpha – pas pour la production), il est juste de dire que le projet a disparu depuis longtemps et PHP7 a déjà prouvé qu’il peut être gênant comme si c’était son prédécesseur. Comme je pense à un nouvel ajout à la WAF et la sécurité de base de PHP7, ce sont quelques-unes des solutions que je suis venu avec:

Désactiver les fonctions mauvaises ou inutiles

Il existe de nombreuses fonctions risquées construites à l’intérieur du PHP qui sont potentiellement dangereuses et devraient être désactivées à l’intérieur de « php.ini » par défaut. Vous pouvez trouver le fichier config en utilisant la commande ci-dessous et désactiver les fonctions via vi ou nano.

php -i | grep "php.ini"

S’IL VOUS PLAÎT NOTER: Si vous exécutant différentes versions de PHP simultanément ou si le programme est installé dans le cadre d’une autre application tierce, alors les chances sont élevées que vous avez plusieurs « php.ini » installés et il n’est pas clair lequel est chargé par le serveur web. Assurez-vous que vous modifiez la bonne version (php -v).

Ajouter la ligne ci-dessous à la fin du fichier « php.ini », assurez-vous que vous avez enregistré le fichier, et redémarrer le serveur web. Vous pouvez en apprendre davantage sur chacune de ces fonctions PHP à cette adresse. En tant qu’action mesurée, vous pouvez les ajouter un par un pour vous assurer qu’il n’affecte pas négativement vos applications.

disable_functions = popen, eval, leak, exec, shell_exec, curl_exec, curl_multi_exec, parse_ini_file, mysql_connect, system, phpinfo, escapeshellarg, escapeshellcmd, passthru, symlink, show_source, mail, sendmail, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid

Enregistrement invalidant Globals et Base64

Register Global est une fonction de PHP qui permet aux tableaux d’entrée de l’URL d’être convertis en variables à l’intérieur de votre code. Donc, tout code potentiellement vulnérable peut être exploité par un attaquant qui peut passer des tableaux malveillants à l’aide de demandes HTTP GET ou POST.

Register Globals peut être facilement désactivé en ajoutant la ligne ci-dessous à la fin de « php.ini ». N’oubliez pas de redémarrer le serveur web pour exécuter les modifications.

register_globals = Off

Tout comme Register Globals, Base64 est une autre caractéristique souvent inutile qui ouvrent la porte à des portes dérobées malveillantes. Vous pouvez désactiver base64 décodeur en permanence en ajoutant la ligne ci-dessous à la fin de « php.ini ».

base64_decode = Off