Quelques paramètres de sécurité pour PHP (optimisation)

En raison de nombreuses raisons liées au langage de script et à la conception des premières versions, les projets PHP présentent de nombreux risques de sécurité. À partir des options de configuration, les optimisations suivantes peuvent être effectuées.

1. Sortie d'erreur PHP Shield.

Dans /etc/php.ini (emplacement du fichier de configuration par défaut), modifiez la valeur de configuration suivante sur Off

display_errors=Off

Ne modifiez pas l'erreur empiler les informations Sortie directe sur la page Web pour empêcher les pirates informatiques d'utiliser les informations pertinentes.

L'approche correcte est la suivante :

Écrivez le journal des erreurs dans le fichier journal pour faciliter le dépannage.

2. Bloquez la version PHP.

Par défaut, la version PHP sera affichée dans l'en-tête de retour, tel que :

Response Headers X-powered-by: PHP/7.2.0

Modifiez la valeur de configuration suivante dans php.ini à Off

expose_php=Off

3. Fermez les variables globales.

Si les variables globales sont activées, certaines données soumises par le formulaire seront automatiquement enregistrées en tant que variables globales. Le code est le suivant :

<form action="/login" method="post">
<input name="username" type="text">
<input name="password" type="password">
<input type="submit" value="submit" name="submit">
</form>

Si les variables globales sont activées, le script PHP côté serveur peut utiliser $username et $password pour obtenir le nom d'utilisateur et le mot de passe, ce qui entraînera un grand danger d'injection de script.

La méthode pour l'activer est de le modifier dans php.ini comme suit :

register_globals=On

Il est recommandé de l'activer off. Les paramètres sont les suivants :

register_globals=Off

Une fois fermé, les paramètres pertinents ne peuvent être obtenus qu'à partir de $_POST, $_GET, $_REQUEST.

4. Restrictions du système de fichiers

Vous pouvez utiliser open_basedir pour limiter les répertoires système auxquels PHP peut accéder.

Si vous utilisez le code de script suivant (hack.php) sans restrictions, vous pouvez obtenir le mot de passe du système.

<?php
echo file_get_contents(&#39;/etc/passwd&#39;);

Une fois défini, une erreur sera signalée et les informations pertinentes ne seront plus affichées, de sorte que le répertoire système b ne soit pas accédé illégalement :

PHP Warning: file_get_contents(): open_basedir restriction in effect. File(/etc/passwd) is not within the allowed path(s): (/var/www) in /var/www/hack.php on line 3
Warning: file_get_contents(): open_basedir restriction in effect. File(/etc/passwd) is not within the allowed path(s): (/var/www) in /var/www/hack.php on line 3 PHP Warning: file_get_contents(/etc/passwd): failed to open stream: Operation not permitted in /var/www/hack.php on line 3
Warning: file_get_contents(/etc/passwd): failed to open stream: Operation not permitted in /var/www/hack.php on line 3

Le paramètre La méthode est la suivante :

open_basedir=/var/www

5. L'accès aux ressources à distance est interdit.

allow_url_fopen=Off
allow_url_include=Off

Autres extensions de sécurité tierces

6.Suhosin.

Suhosin est un système de protection de programme PHP. Il a été conçu à l'origine pour protéger les serveurs et les utilisateurs contre les failles connues ou inconnues des programmes PHP et du noyau PHP (il semble assez pratique et peut résister à certaines attaques mineures). Suhosin comporte deux parties indépendantes, qui peuvent être utilisées séparément ou combinées.

La première partie est un patch pour le noyau PHP, qui peut résister aux débordements de tampon ou aux faiblesses des chaînes de formatage (c'est un must !

La deuxième partie est une puissante extension PHP (l'extension) ; le mode est très bon, facile à installer...), y compris toutes les autres mesures de protection.

Installer l'extension

wget http://download.suhosin.org/suhosin-0.9.37.1.tar.gz
tar zxvf suhosin-0.9.37.1.tar.gz
cd suhosin-0.9.37.1/
phpize
./configure  --with-php-config=/usr/local/bin/php-config
make
make install
在php.ini下加入suhosin.so即可
extension=suhosin.so

Caractéristiques

● Mode protégé de l'émulateur

● Ajouter deux fonctions sha256() et sha256_file( ) dans le noyau PHP

● Toutes les plateformes, ajoutez CRYPT_BLOWFISH à la fonction crypt()

● Activez la protection transparente pour la page phpinfo()

● Protection des utilisateurs de la base de données SQL ( Phase de test)

Protection d'exécution

● Cookies cryptés

● Empêcher différents types de vulnérabilités d'inclusion (l'inclusion d'URL à distance n'est pas autorisée (piratage/liste blanche ); ne permet pas l'inclusion des fichiers téléchargés ; empêche les attaques par traversée de répertoires)

● Autorise l'interdiction de preg_replace()

● Autorise l'interdiction de la fonction eval()

● Passer Configurer une profondeur d'exécution maximale pour éviter une récursion infinie

● Prendre en charge chaque hôte virtuel pour configurer des listes noires et blanches

● Fournir des listes noires et blanches de fonctions distinctes pour l'exécution du code

● Empêcher les réponses HTTP de diviser la vulnérabilité

● Empêcher les scripts de contrôler l'option memory_limit

● Protéger les superglobales PHP, telles que les fonctions extract (), import_request_vars ()

● Empêcher les nouvelles modifications à la fonction mail() Attaque de ligne

● Empêcher l'attaque preg_replace()

Protection de session

● Chiffrer les données de session

● Empêcher le piratage de session

● Empêcher un identifiant de session trop long

● Empêcher un identifiant de session malveillant

Les données de SESSION sont généralement stockées en texte clair sur le serveur. Ici, $_SESSION est crypté et déchiffré côté serveur. De cette façon, lorsque le handle de session est stocké dans Memcache ou dans la base de données, il ne sera pas facilement cassé. Plusieurs fois, nos données de session stockeront certains champs sensibles.

Cette fonctionnalité est activée par défaut et peut également être modifiée via php.ini :

suhosin.session.encrypt = On
suhosin.session.cryptkey = zuHywawAthLavJohyRilvyecyondOdjo
suhosin.session.cryptua = On
suhosin.session.cryptdocroot = On
;; IPv4 only
suhosin.session.cryptraddr = 0
suhosin.session.checkraddr = 0

Cryptage des cookies

Le L'en-tête HTTP transmis par le cookie dans le navigateur client est également en texte clair. En chiffrant les cookies, vous protégez votre application contre de nombreuses attaques, telles que la falsification de cookies : un attaquant peut tenter de deviner d'autres valeurs de cookies raisonnables pour attaquer votre application.

Utilisation de cookies dans plusieurs applications : les applications mal configurées peuvent avoir le même stockage de session. Par exemple, toutes les sessions sont stockées par défaut dans le répertoire /tmp. Les cookies d'une application ne peuvent jamais être réutilisés pour une autre. tant que les clés de cryptage sont différentes.

Configuration du cryptage des cookies dans php.ini :

suhosin.cookie.encrypt = On
;; the cryptkey should be generated, e.g. with 'apg -m 32'
suhosin.cookie.cryptkey = oykBicmyitApmireipsacsumhylWaps1
suhosin.cookie.cryptua = On
suhosin.cookie.cryptdocroot = On
;; whitelist/blacklist (use only one)
;suhosin.cookie.cryptlist = WALLET,IDEAS
suhosin.cookie.plainlist = LANGUAGE
;; IPv4 only
suhosin.cookie.cryptraddr = 0
suhosin.cookie.checkraddr = 0
Blocking Functions
测试
##默认PHP的Session保存在tmp路径下
ll  -rt /tmp | grep sess
##扩展未开启时查看某条sesson的数据
cat  sess_ururh83qvkkhv0n51lg17r4aj6
//记录是明文的
##扩展开启后查看某条sesson 的数据
cat  sess_ukkiiiheedupem8k4hheo0b0v4
//记录是密文的
可见加密对安全的重要性

Fonction de blocage

Liste blanche

##显式指定指定白名单列表
suhosin.executor.func.whitelist = htmlentities,htmlspecialchars,base64_encode
suhosin.executor.eval.whitelist = htmlentities,htmlspecialchars,base64_encode
<?php
echo htmlentities(&#39;<test>&#39;);
eval(&#39;echo htmlentities("<test>");&#39;);

Liste noire

##显式指定指定黑名单列表
suhosin.executor.func.blacklist = assert,unserialize,exec,popen,proc_open,passthru,shell_exec,system,hail,parse_str,mt_srand
suhosin.executor.eval.whitelist = assert,unserialize,exec,popen,proc_open,passthru,shell_exec,system,hail,parse_str,mt_srand
通过日志来查看非法调用黑白名单
suhosin.simulation = 1
suhosin.log.file = 511
suhosin.log.file.name = /tmp/suhosin-alert.log

Autres éléments de configuration

suhosin.executor.include.max_traversal    扩目录的最大深度，可以屏蔽切换到非法路径
suhosin.executor.include.whitelist        允许包含的URL，用逗号分隔
suhosin.executor.include.blacklist        禁止包含的URL，用逗号分隔
suhosin.executor.disable_eval = On        禁用eval函数
suhosin.upload.max_uploads
suhosin.upload.disallow_elf
suhosin.upload.disallow_binary
suhosin.upload.remove_binary
suhosin.upload.verification_script        上传文件检查脚本，可以来检测上传的内容是否包含webshell特征

使用Suhosin，你可以得到一些错误日志，你能把这些日志放到系统日志中，也可以同时写到其他任意的日志文件中去;

它还可以为每一个虚拟主机创建黑名单和白名单;

可以过滤GET和POST请求、文件上载和cookie;

你还能传送加密的会话和cookie，可以设置不能传送的存储上线等等;

它不像原始的PHP强化补丁，Suhosin是可以被像Zend Optimizer这样的第三方扩展软件所兼容的。

更多相关php知识，请访问php教程！

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!