在這篇文章中,我將嘗試爲你提供一些可以提高 PHP 應用程序安全性的具體步驟。我關注的是 PHP 配置本身,所以我們不會討論 SQL 注入、HTTPS 或其他與 PHP 無關的問題。
我將使用我的 docker-entrypoint.sh 腳本中的 bash 行來說明示例,但當然你可以將其應用於非 docker 環境。
Sessions
使用較長的 Session ID 長度
增加會話 id 長度會使攻擊者更難猜到(通過暴力或更有可能的側通道攻擊)。長度可以介於 22 到 256 個字符之間。默認值爲 32。
sed -i -e "s/session.sid_length = 26/session.sid_length = 42/" /etc/php7/php.ini
(別問我爲什麼在 Alpine Linux 上是 26…)
你可能還想查看 session.sid_bits_per_character。
使用具有限制權限的自定義會話保存路徑
只有 nginx/php 需要訪問會話,所以讓我們將它們放在一個具有受限權限的特殊文件夾中。
sed -i -e "s:;session.save_path = \"/tmp\":session.save_path = \"/sessions\":" /etc/php7/php.ini
mkdir -p /sessions
chown nginx:nginx /sessions
chmod 700 /sessions
當然,如果你使用 Redis 處理會話,你並不需要關心這一部分;)
安全會話 Cookie
session.cookie_httponly來阻止 javascript 訪問它們。更多信息。
sed -i -e "s/session.cookie_httponly.*/session.cookie_httponly = true/" /etc/php7/php.ini
sed -i -e "s/;session.cookie_secure.*/session.cookie_secure = true/" /etc/php7/php.ini
session.cookie_secure 防止你的 cookie 在明文 HTTP 上傳輸。
session.cookie_samesite 以防止跨站點攻擊。僅適用於最新的 PHP / 瀏覽器。
使用嚴格模式
由於 Cookie 規範,攻擊者能夠通過本地設置 Cookie 數據庫或 JavaScript 注入來放置不可移除的會話 ID Cookie。
session.use_strict_mode可以防止使用攻擊者初始化的會話 ID。
限制生存期
會話應與瀏覽器一起關閉。因此設置 session.cookie_lifetime 爲 0。
Open_basedir
open_basedir 是一個 php.ini 配置選項,允許你限制 PHP 可以訪問的文件 / 目錄。
sed -i -e "s#;open_basedir =#open_basedir = /elabftw/:/tmp/:/usr/bin/unzip#" /etc/php7/php.ini
這裏我添加了 unzip,因爲它是由 Composer 使用的。 /elabftw是所有源 php 文件所在的位置。我不記得爲什麼/tmp會在這裏,但肯定有原因。
禁用功能
這一點要小心,因爲你很容易搞砸一個應用程序。但這絕對值得調查。假設攻擊者以某種方式上傳了一個 webshell,如果正確禁用了,webshell 將不會真正工作,因爲shell_exec將被禁用,同類也將被禁用。我提供了一個適用於elabftw的列表,但並不是百分之百完成。
sed -i -e "s/disable_functions =/disable_functions = php_uname, getmyuid, getmypid, passthru, leak, listen, diskfreespace, tmpfile, link, ignore_user_abort, shell_exec, dl, system, highlight_file, source, show_source, fpaththru, virtual, posix_ctermid, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_isatty, posix_kill, posix_mkfifo, posix_setegid, posix_seteuid, posix_setgid, posix_setpgid, posix_setsid, posix_setuid, posix_times, posix_ttyname, posix_uname, phpinfo/" /etc/php7/php.ini
禁用 url_fopen
allow_url_fopen 這個選項很危險的。禁用它。更多信息在此處。
sed -i -e "s/allow_url_fopen = On/allow_url_fopen = Off/" /etc/php7/php.ini
禁用 cgi.fix_pathinfo
你不想讓非 PHP 文件作爲 PHP 文件執行,對嗎?那就禁用此功能。更多信息。
sed -i -e "s/;cgi.fix_pathinfo=1/cgi.fix_pathinfo=0/g" /etc/php7/php.ini
隱藏 PHP 版本
最後,不假思索地說:
sed -i -e "s/expose_php = On/expose_php = Off/g" /etc/php7/php.ini
現在就這樣。我希望你會發現這篇文章很有用,並改進你的配置;)
很多PHPer在進階的時候總會遇到一些問題和瓶頸,業務代碼寫多了迷茫沒方向,不知道該從哪兒入手去提升自己。→→管理整理了一些資料,有 騰訊 等一線大廠進階知識體系 可供參考(相關學習資料以及筆面試題)
覆蓋各個技術棧:分佈式架構、高可擴展、高性能、高併發、服務器性能調優、TP6,laravel,YII2,Redis,Swoole、Swoft、Kafka、Mysql優化、shell腳本、Docker、微服務、Nginx等多個知識點高級進階乾貨歡迎加入我的官方羣啊點擊此處