it-swarm.dev

Sicurezza: best practice per disabili_funzioni e classi

Poiché Joomla utilizza così tanti componenti di terze parti e simili, quali sono alcune funzioni e classi sicure da aggiungere a php.ini per disabled_classes e disabled_functions?

Il motivo per cui chiedo questo è di bloccare di più un server, aggiungendo di più a quelle proprietà php.ini è meglio.

exec() è ovvio, tuttavia quelli come base64_decode() non lo sono poiché vengono usati spesso, ci sono altre funzioni sicure e utili? (senza contare i valori predefiniti utilizzati da php).

NOTA: Questo non significa "curare tutto" per la sicurezza, solo una parte della sicurezza.

3
Jordan Ramstad

Questi sono alcuni comuni che la gente consiglia di disabilitare:

show_source, system, Shell_exec, passthru, exec, popen, proc_open,

Soprattutto negli ambienti Joomla senza problemi. È davvero più una questione di casi d'uso quando si tratta di alcune funzioni, ma idealmente non vuoi lasciarti andare a nessuno di quelli particolarmente traballanti se non li stai usando. Consiglio anche di disabilitare i metodi HTTP che non vengono utilizzati in modo arbitrario o sistematico come DELETE o TRACE.

1
Milton Bryant

Se ti affidi alle impostazioni di php.ini per disabilitare le funzioni principali per darti più "sicurezza", allora hai già fallito.

La sicurezza del server non si limita a disabilitare le funzioni. Infatti un server molto sicuro non ha bisogno di alcuna PHP Funzioni disabilitate nel modo in cui ti riferisci.

Inoltre, se si implementano file php.ini (.user.ini) per utente per disabilitare queste funzioni, tutto ciò che un hacker deve fare è rimuovere quelli per ottenere l'accesso a funzioni che si pensava fossero sicure e bloccate!

Anche se la lista di controllo "ufficiale" dice di disabilitare le funzioni, non credere a tutto ciò che leggi su questo argomento!

1
Phil Taylor

Una buona pratica è avere un utente di sistema esclusivo per eseguire il tuo joomla. Quindi puoi limitare questo utente ad accedere solo alla cartella joomla.

Penso che devi evitare di disabilitare queste funzioni perché alcune estensioni possono averne bisogno per il bene e non per il male.

0
csbenjamin