php.ini માં disable_functions ડાયરેક્ટિવ અને અન્ય સેટિંગ્સનો ઉપયોગ કરીને ઉલ્લેખિત પ્રતિબંધોને PHP દુભાષિયામાં બાયપાસ કરવા માટે એક પદ્ધતિ પ્રકાશિત કરવામાં આવી છે. ચાલો યાદ કરીએ કે disable_functions ડાયરેક્ટિવ સ્ક્રિપ્ટ્સમાં અમુક આંતરિક કાર્યોના ઉપયોગને પ્રતિબંધિત કરવાનું શક્ય બનાવે છે, ઉદાહરણ તરીકે, તમે "system, exec, passthru, popen, proc_open અને shell_exec" ને અક્ષમ કરી શકો છો બાહ્ય પ્રોગ્રામ્સ પરના કૉલ્સને અવરોધિત કરવા અથવા પ્રતિબંધિત કરવા માટે ફોપેન. ફાઈલો ખોલી રહ્યા છીએ.
તે નોંધનીય છે કે સૂચિત શોષણ નબળાઈનો ઉપયોગ કરે છે જેની જાણ PHP વિકાસકર્તાઓને 10 વર્ષ કરતાં પણ વધુ સમય પહેલાં કરવામાં આવી હતી, પરંતુ તેઓએ તેને કોઈ સુરક્ષા અસર વિના નાની સમસ્યા ગણાવી હતી. પ્રસ્તાવિત હુમલાની પદ્ધતિ પ્રક્રિયા મેમરીમાં પરિમાણોના મૂલ્યોને બદલવા પર આધારિત છે અને PHP 7.0 થી શરૂ કરીને તમામ વર્તમાન PHP પ્રકાશનોમાં કાર્ય કરે છે (PHP 5.x પર પણ હુમલો શક્ય છે, પરંતુ આ માટે શોષણમાં ફેરફારની જરૂર છે) . શોષણનું પરીક્ષણ ડેબિયન, ઉબુન્ટુ, સેંટોસ અને ફ્રીબીએસડીના વિવિધ રૂપરેખાંકનો પર PHP સાથે ક્લી, એફપીએમ અને apache2 માટે મોડ્યુલના સ્વરૂપમાં કરવામાં આવ્યું છે.
સોર્સ: opennet.ru