Qualche soluzione per superare un test di penetrazione per un'applicazione web php obsoleta senza aggiornare l'applicazione?

Naviga le tue risposte
2

Una lista di vulnerabilità per il mio versione PHP del progetto. Il cliente preferirebbe non aggiornare la versione di PHP all'ultima versione. Inoltre, è abbastanza probabile che alcuni codici si interrompano dopo il passaggio da 5.1.6 a 5.3.0. Ci sono, tuttavia, due problemi che devo affrontare:

  • Alcune vulnerabilità non possono essere risolte con il codice, possono essere risolte solo ricompilando PHP con le correzioni; Sono obbligato a riscrivere il codice per evitarli
  • Non riesco a trovare PoC (proof of concept) per la maggior parte delle vulnerabilità; come posso sapere che li ho sistemati / dove il problema è, precisamente?

Qualsiasi consiglio è molto apprezzato.

    
posta Valentin Brasso 31.07.2012 - 19:40
fonte

2 risposte

3

L'aggiornamento e la riscrittura di parte del codice rappresenteranno il modo più sicuro per affrontare le vulnerabilità. A seconda del modo in cui si accede alla tua applicazione, puoi guardare a diverse prospettive.

Se si accede esternamente a Internet, suppongo che gli utenti si trovino in uno specifico ambito geografico. Ex. Sito in Florida per un'azienda locale con prodotti locali. Potresti bloccare tutto il traffico internazionale poiché non sarebbe necessario.

Se si tratta di un'applicazione Intranet interna, basta monitorare la rete per consentire a chiunque di fare qualcosa di strano.

Se è su Internet con esposizione internazionale come requisito, tieni tutto aggiornato e patchato perché stai per essere scansionato.

    
risposta data 01.08.2012 - 00:37
fonte
1

Potresti vedere se puoi mitigare alcuni dei rischi con il link mod_security

    
risposta data 31.07.2012 - 21:35
fonte

Leggi altre domande sui tag

È corretto usare il computer durante la ricerca di virus? Come filtrare le richieste POST prima che raggiungano PHP su Apache?