蘇霍辛的末日; 下一步是什麼?
很多年了, 我熱心地使用 蘇霍辛 在 Apache2 或 PHP-FPM Nginx 網路伺服器上實現 PHP5,以防禦 SQL 注入和其他常見的 Web 攻擊. 事實上, PHP5 是如此災難性, 無論是在其核心安全性方面, 以及它的功能和模組,如果沒有 Suhosin 提供的任何顯著強化,我就無法想像使用它.
隨著 PHP5 的貶值和我的舊程式全部消失, 我只剩下幾個 PHP7 的實現,沒有可用的 Suhosin 補丁.
雖然, 在技術上仍然可以將 Suhosin 添加到 PHP 中 7.0 和 7.1 (預測試版 – 不適用於生產), 可以說,該專案早已不復存在,PHP7 已經證明瞭這一點 可能會很麻煩 就像它的前身一樣. 當我正在考慮 WAF 的新功能和 PHP7 的核心安全性時, 這些是我附帶的一些解決方案:
禁用不良或不必要的功能
PHP 中內置了許多有風險的函數,這些函數具有潛在的危險性,默認情況下應在“php.ini”中禁用. 您可以使用以下命令找到設定檔,並通過vi或nano禁用功能.
php -i | grep "php.ini"請注意: 如果您同時運行各種版本的 PHP,或者該程式作為另一個第三方應用程式的一部分安裝,則, 那麼很有可能您安裝了多個“php.ini”,並且不清楚Web伺服器載入了哪一個. 確保您正在編輯正確的版本 (php -v).
在「php.ini」檔末尾添加以下行, 確保您保存了檔, 並重新啟動網路伺服器. 您可以了解這些 PHP 函數中的每一個 在此位址. 作為測量的動作, 您可能希望逐個添加它們,以確保它不會對您的應用程式產生負面影響.
disable_functions = popen, eval, leak, exec, shell_exec, curl_exec, curl_multi_exec, parse_ini_file, mysql_connect, system, phpinfo, escapeshellarg, escapeshellcmd, passthru, symlink, show_source, mail, sendmail, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid禁用寄存器全域變數和Base64
註冊全域是PHP的一個函數,它允許將URL的輸入數位轉換為代碼中的變數. 因此, 攻擊者可以利用任何可能易受攻擊的代碼,該攻擊者可以使用HTTP GET或POST請求傳遞惡意數位.
通過在「php.ini」末尾添加以下行,可以輕鬆禁用寄存器全域. 不要忘記重新啟動Web伺服器以執行更改.
register_globals = Off就像註冊全域一樣, Base64 是另一個通常不必要的功能,它為惡意後門打開了大門. 您可以通過在「php.ini」的末尾添加以下行來永久禁用Base64解碼器.
base64_decode = OffPost Disclaimer
The views, information, or opinions expressed are solely those of the author and do not necessarily represent those of his employer or the organizations with which he is affiliated.
The information contained in this post is for general information purposes only. The information is provided by Farhad Mofidi and while he strives to keep the information current and accurate, he does not make any representations or warranties of any kind, express or implied, regarding the completeness, accuracy, reliability, suitability or availability of the website. Farhad makes no representations or warranties. or any information, products or related graphics contained in any Post for any purpose.
Also, AI may be employed as a tool to provide suggestions and improve some of the contents or sentences. The ideas, thoughts, opinions, and final products are original and human-made by the author.