Het einde van Suhosin; wat is de volgende stap?

Al vele jaren, Ik heb ijverig gebruik gemaakt van Soehosin met implementaties van PHP5 op Apache2 of PHP-FPM Nginx webservers om zich te verdedigen tegen SQL-injectie en andere veel voorkomende webaanvallen. Eigenlijk, PHP5 was zo rampzalig, zowel in termen van de kernbeveiliging, en de functies en modules die ik nooit had kunnen bedenken om het te gebruiken zonder enige significante verharding die Suhosin biedt.

Omdat PHP5 is afgeschreven en mijn legacy-programma's allemaal verdwenen zijn, Ik blijf achter met verschillende implementaties van PHP7 en geen beschikbare Suhosin-patches.

Alhoewel, het is technisch nog steeds mogelijk om Suhosin aan PHP toe te voegen 7.0 en 7.1 (pre-alpha – niet voor productie), het is eerlijk om te zeggen dat het project al lang weg is en PHP7 al heeft bewezen dat het kan lastig zijn alsof het zijn voorganger was. Terwijl ik nadenk over een nieuwe toevoeging aan de WAF en kernbeveiliging van PHP7, dit zijn enkele van de oplossingen waarmee ik kwam:

Slechte of onnodige functies uitschakelen

Er zijn veel risicovolle functies ingebouwd in de PHP die potentieel gevaarlijk zijn en standaard moeten worden uitgeschakeld binnen 'php.ini'. U kunt het configuratiebestand vinden met behulp van de onderstaande opdracht en de functies uitschakelen via vi of nano.

php -i | grep "php.ini"

LET: Als u verschillende versies van PHP tegelijkertijd uitvoert of als het programma is geïnstalleerd als onderdeel van een andere toepassing van derden, dan is de kans groot dat je meerdere 'php.ini' hebt geïnstalleerd en is het niet duidelijk welke door de webserver wordt geladen.. Zorg ervoor dat u de juiste versie bewerkt (php -v).

Voeg de onderstaande regel toe aan het einde van het 'php.ini'-bestand, zorg ervoor dat u het bestand hebt opgeslagen, en start de webserver opnieuw op. U kunt meer te weten komen over elk van deze PHP-functies op dit adres. Als een afgemeten actie, misschien wilt u ze één voor één toevoegen om ervoor te zorgen dat dit uw toepassingen niet negatief beïnvloedt.

disable_functions = popen, eval, leak, exec, shell_exec, curl_exec, curl_multi_exec, parse_ini_file, mysql_connect, system, phpinfo, escapeshellarg, escapeshellcmd, passthru, symlink, show_source, mail, sendmail, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid

Register Globals en Base64 uitschakelen

Register Global is een functie van PHP waarmee invoerarrays naar de URL kunnen worden geconverteerd naar variabele in uw code. Daarom, alle potentieel kwetsbare code kan worden misbruikt door een aanvaller die kwaadaardige arrays kan doorgeven via HTTP GET- of POST-verzoeken.

Register Globals kan eenvoudig worden uitgeschakeld door de onderstaande regel toe te voegen aan het einde van 'php.ini'. Vergeet niet om de webserver opnieuw op te starten om de wijzigingen uit te voeren.

register_globals = Off

Net als Register Globals, Base64 is een andere vaak onnodige functie die de deur opent naar kwaadaardige achterdeuren. U kunt Base64 decoder permanent uitschakelen door de onderstaande regel toe te voegen aan het einde van 'php.ini'.

base64_decode = Off