Краят на Сухосин; какво следва?
В продължение на много години, Ревностно съм използвал Сухосин с всички приложения на уеб сървърни сървъри на Apache2 или PHP-FPM NPM NPM за защита срещу SQL инжектиране и други често срещани уеб атаки. Всъщност, PHP5 беше толкова катастрофален, както по отношение на основните, и нейните функции и модули, които никога не бих могъл да зачене да го използва без значително втвърдяване, което Suhosin осигурява.
Тъй като PHP5 е амортизирана и моите наследени програми са изчезнали, Останах с няколко прилагането на PHP7 и няма налични Suhosin кръпки.
Въпреки, все още е технически възможно да добавите Suhosin към PHP 7.0 И 7.1 (предварително алфа – не за производство), справедливо е да се каже, че проектът отдавна е отишъл и PHP7 вече доказа, че може да бъде обезпокоителна Сякаш е бил негов предшественик. Като си мисля за ново допълнение към WAF и основната сигурност на PHP7, това са някои от решенията, с които:
Забраняване на лоши или ненужни функции
Има много рискови функции, вградени в PHP, които са потенциално опасни и трябва да бъдат деактивирани вътре "php.ini" по подразбиране. Можете да намерите конфигурационния файл, като използвате командата по-долу и деактивирайте функциите чрез vi или nano.
php -i | grep "php.ini"МОЛЯ, ОБЪРНЕТЕ ВНИМАНИЕ: Ако използвате различни версии на PHP едновременно или програмата е инсталирана като част от друго приложение на трети страни, след това шансовете са високи, че имате няколко "php.ini" инсталиран и не е ясно кой е зареден от уеб сървъра. Уверете се, че редактирате правилната версия (PHP -v).
Добавете долния ред в края на файла 'php.ini', уверете се, че сте записали файла, и рестартирайте уеб сървър. Можете да научите за всяка от тези PHP функции на този адрес. Като измерено действие, можете да ги добавите един по един, за да се уверите, че това не влияе негативно на вашите приложения.
disable_functions = popen, eval, leak, exec, shell_exec, curl_exec, curl_multi_exec, parse_ini_file, mysql_connect, system, phpinfo, escapeshellarg, escapeshellcmd, passthru, symlink, show_source, mail, sendmail, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuidЗабраняване на регистъра globals и Base64
Register Global е функция от PHP, която позволява входните масиви към URL адреса да бъдат преобразувани в променлива вътре в кода. Следователно, всеки потенциално уязвим код може да бъде използван от нападател, който може да премине злонамерени масиви с помощта на HTTP GET или POST заявки.
Регистрирайте се Globals може лесно да бъде деактивиран чрез добавяне на долния ред в края на "php.ini". Не забравяйте да рестартирате уеб сайта, за да изпълни промените.
register_globals = OffТочно като регистрирайте се, Base64 е друга често ненужна функция, която отваря вратите в злонамерени задни врати. Можете да деактивирате Base64 декодер за постоянно, като добавите долния ред в края на "php.ini".
base64_decode = OffСлед отказ от отговорност
Мненията, информация, или изразените мнения са единствено на автора и не представляват непременно тези на неговия работодател или на организациите, с които е свързан.
Информацията, съдържаща се в този пост, е само с обща информационна цел. Информацията се предоставя от Фархад Мофиди и докато той се стреми да поддържа информацията актуална и точна, той не дава никакви изявления или гаранции от какъвто и да е вид, ясни или косвени, относно пълнотата, точността, надеждността, пригодността или наличността на уебсайта. Фархад не прави никакви изявления или гаранции. или за каквато и да е информация, продукти или свързана графика, съдържаща се в който и да е пост за каквато и да е цел.
Също така, AI може да се използва като инструмент за предоставяне на предложения и подобряване на някои от съдържанията или изреченията. Идеи, мисли, мнения, и крайните продукти са оригинални и създадени от човека автор.