సుహోసిన్ ముగింపు; తరువాత ఏమిటి?

సుహోసిన్ ముగింపు; తరువాత ఏమిటి?

పిహెచ్ పి సుహోసిన్

ఎన్నో ఏళ్లుగా, నేను ఉత్సాహంగా ఉపయోగించాను సుహోసిన్ అపాచే2 లేదా PHP-FPM Nginx వెబ్ సర్వర్ లపై పిహెచ్ పి5 యొక్క ఏవైనా అమలులతో SQL ఇంజెక్షన్ మరియు ఇతర సాధారణ వెబ్ దాడులకు విరుద్ధంగా రక్షణ కల్పించవచ్చు.. నిజానికి, PHP5 చాలా వినాశకరమైనది, రెండింటినీ దాని కోర్ సెక్యూరిటీ పరంగా, మరియు దాని విధులు మరియు మాడ్యూల్స్ నేను సుహోసిన్ అందించే ఏ గణనీయమైన గట్టిపడకుండా దానిని ఉపయోగించి ఎన్నడూ ఊహించి ఉండలేదు.

PHP5 తరుగుదల మరియు నా లెగసీ కార్యక్రమాలు అన్నీ పోయాయి, పిహెచ్ పి7 యొక్క అనేక అమలు మరియు లభ్యం అవుతున్న సుహోసిన్ ప్యాచ్ లు లేవు..

అయినప్పటికీ, ఇది ఇప్పటికీ సాంకేతికంగా సుహోసిన్ ను PHPకి జోడించే అవకాశం ఉంది 7.0 మరియు 7.1 (ప్రీ ఆల్ఫా – ప్రొడక్షన్ కొరకు కాదు), మరియు PHP7 ఇప్పటికే నిరూపించబడింది అని చెప్పడం న్యాయంగా ఉంది ఇబ్బంది కలిగించవచ్చు దాని పూర్వికునివలె. నేను WAF మరియు PHP7 యొక్క కోర్ సెక్యూరిటీకి ఒక కొత్త చేరిక గురించి ఆలోచిస్తున్నాను, నేను వచ్చిన కొన్ని పరిష్కారాలు:

చెడ్డ లేదా అనవసరమైన విధులను నిలిపివేయడం

పిహెచ్ పి లోపల అనేక ప్రమాదకరమైన ఫంక్షన్ లు నిర్మించబడ్డాయి మరియు డిఫాల్ట్ గా 'php.ini' లోపల డిసేబుల్ చేయాలి.. దిగువ కమాండ్ ఉపయోగించి కాన్ఫిగరేషన్ ఫైలును మీరు కనుగొనవచ్చు మరియు vi లేదా nano ద్వారా ఫంక్షన్లను డిసేబుల్ చేయవచ్చు..

php -i | grep "php.ini"

దయచేసి గమనించండి: ఒకవేళ మీరు పిహెచ్ పి యొక్క వివిధ వెర్షన్ లను ఏకకాలంలో రన్ చేస్తున్నట్లయితే లేదా మరో తృతీయపక్ష అప్లికేషన్ లో భాగంగా ప్రోగ్రామ్ ఇన్ స్టాల్ చేయబడినట్లయితే, అప్పుడు మీరు బహుళ 'php.ini' ఇన్స్టాల్ మరియు వెబ్ సర్వర్ ద్వారా ఏది లోడ్ చేయబడిందని స్పష్టంగా తెలియదు. మీరు సరైన వెర్షన్ ను సవరిస్తున్నారని నిర్ధారించుకోండి (php -v).

'php.ini' ఫైలు యొక్క చివరల్లో దిగువ లైనుజోడించండి, మీరు ఫైలును సేవ్ చేసినట్లుగా ధృవీకరించుకోండి, మరియు వెబ్ సర్వర్ ను పునః ప్రారంభించండి. ఈ పిహెచ్ పి ఫంక్షన్ల గురించి మీరు నేర్చుకోవచ్చు. ఈ చిరునామాలో. కొలవబడిన చర్యగా, మీ అప్లికేషన్ లపై వ్యతిరేక ప్రభావం లేదని ధృవీకరించుకోవడం కొరకు వాటిని ఒకదాని తరువాత ఒకటి జోడించాలని మీరు కోరుకోవచ్చు..

disable_functions = popen, eval, leak, exec, shell_exec, curl_exec, curl_multi_exec, parse_ini_file, mysql_connect, system, phpinfo, escapeshellarg, escapeshellcmd, passthru, symlink, show_source, mail, sendmail, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid

రిజిస్టర్ గ్లోబల్స్ మరియు బేస్64 నిలిపివేయడం

రిజిస్టర్ గ్లోబల్ అనేది పిహెచ్ పి ద్వారా ఫంక్షన్, ఇది URLకు ఇన్ పుట్ ఎరాయ్ లను మీ కోడ్ లోపల వేరియబుల్ గా కన్వర్ట్ చేయడానికి అనుమతిస్తుంది.. అందువలన, HTTP GET లేదా POST అభ్యర్థనలను ఉపయోగించి హానికరమైన ఎరాయ్ లను పాస్ చేయగల ఏదైనా సంభావ్య దుర్బల కోడ్ ను దాడిచేసే వ్యక్తి ద్వారా దోపిడీ చేయవచ్చు..

'php.ini' యొక్క చివరల్లో దిగువ లైన్ జోడించడం ద్వారా రిజిస్టర్ గ్లోబల్స్ ని తేలికగా డిసేబుల్ చేయవచ్చు.. మార్పులను అమలు చేయడానికి వెబ్ సర్వర్ ను పునః ప్రారంభించడం మర్చిపోవద్దు.

register_globals = Off

జస్ట్ రిజిస్టర్ గ్లోబల్స్ వంటి, Base64 అనేది మరో తరచుగా అనవసరమైన ఫీచర్, ఇది హానికరమైన బ్యాక్ డోర్ లకు డోర్ ని తెరుస్తుంది.. 'php.ini' యొక్క చివరల్లో దిగువ లైన్ జోడించడం ద్వారా మీరు Base64 డీకోడర్ ని శాశ్వతంగా డిలేబుల్ చేయవచ్చు..

base64_decode = Off
Post Disclaimer

The views, సమాచారము, or opinions expressed are solely those of the author and do not necessarily represent those of his employer or the organizations with which he is affiliated.

The information contained in this post is for general information purposes only. The information is provided by Farhad Mofidi and while he strives to keep the information current and accurate, he does not make any representations or warranties of any kind, express or implied, regarding the completeness, ఖచ్చితత్వం, reliability, suitability or availability of the website. Farhad makes no representations or warranties. or any information, products or related graphics contained in any Post for any purpose.

Also, AI may be employed as a tool to provide suggestions and improve some of the contents or sentences. The ideas, thoughts, opinions, and final products are original and human-made by the author.

 

సమాధానం ఇవ్వండి

మీ ఇమెయిల్ చిరునామా పబ్లిష్ చేయబడదు. అవసరమైన ఫీల్డ్ లు మార్క్ చేయబడ్డాయి *