የ disable_functions መመሪያን እና በphp.ini ውስጥ ያሉ ሌሎች ቅንብሮችን በመጠቀም የተቀመጡ ገደቦችን ለማለፍ በPHP ተርጓሚ ላይ ዘዴ ታትሟል። የ disable_functions መመሪያ በስክሪፕቶች ውስጥ የተወሰኑ የውስጥ ተግባራትን መጠቀምን መከልከል የሚቻል መሆኑን አስታውስ ፣ ለምሳሌ ፣ ወደ ውጫዊ ፕሮግራሞች የሚደረጉ ጥሪዎችን ለማገድ ወይም ፋይሎችን ለመክፈት “ስርዓት ፣ኤክሰክ ፣ፓስትሩ ፣ፖፔን ፣ ፕሮክ_ኦፔን እና ሼል_exec”ን መከልከል ትችላለህ። .
የታቀደው ብዝበዛ ከ10 ዓመታት በፊት ለPHP ገንቢዎች ሪፖርት የተደረገውን ተጋላጭነት መጠቀሙ ትኩረት የሚስብ ነው፣ ነገር ግን ደህንነትን የማይጎዳ ጥቃቅን ችግር አድርገው ቆጥረውታል። የታቀደው የጥቃት ዘዴ በሂደቱ ማህደረ ትውስታ ውስጥ ያሉትን የመለኪያ እሴቶችን በመቀየር ላይ የተመሠረተ እና በ PHP 7.0 ጀምሮ በሁሉም ወቅታዊ የ PHP ልቀቶች ውስጥ ይሰራል (ጥቃቱ በ PHP 5.x ላይም ይቻላል ፣ ግን ይህ በብዝበዛ ላይ ለውጦችን ይፈልጋል) ). ብዝበዛው በተለያዩ የዴቢያን፣ ኡቡንቱ፣ ሴንት ኦኤስ እና ፍሪቢኤስዲ አወቃቀሮች በPHP በክሊ፣ fpm እና በ apache2 ሞጁል ተሞክሯል።
ምንጭ: opennet.ru