Mae dull wedi'i gyhoeddi i osgoi yn y dehonglydd PHP y cyfyngiadau a nodir gan ddefnyddio'r gyfarwyddeb disable_functions a gosodiadau eraill yn php.ini. Gadewch inni gofio bod y gyfarwyddeb disable_functions yn ei gwneud hi'n bosibl gwahardd defnyddio rhai swyddogaethau mewnol mewn sgriptiau, er enghraifft, gallwch analluogi “system, exec, passthru, popen, proc_open a shell_exec” i rwystro galwadau i raglenni allanol neu i wahardd agor ffeiliau.
Mae'n werth nodi bod y camfanteisio arfaethedig yn defnyddio bregusrwydd a adroddwyd i ddatblygwyr PHP fwy na 10 mlynedd yn ôl, ond roeddent yn ei ystyried yn broblem fach heb unrhyw effaith diogelwch. Mae'r dull ymosod arfaethedig yn seiliedig ar newid gwerthoedd paramedrau yn y cof proses ac mae'n gweithio ym mhob datganiad PHP cyfredol, gan ddechrau gyda PHP 7.0 (mae'r ymosodiad hefyd yn bosibl ar PHP 5.x, ond mae hyn yn gofyn am newidiadau i'r camfanteisio) . Mae'r camfanteisio wedi'i brofi ar wahanol gyfluniadau o Debian, Ubuntu, CentOS a FreeBSD gyda PHP ar ffurf cli, fpm a modiwl ar gyfer apache2.
Ffynhonnell: opennet.ru