Aðferð til að komast framhjá takmörkunum í PHP túlkunarsettinu með því að nota tilskipunina disable_functions og aðrar php.ini stillingar hefur verið birt. Til áminningar, tilskipunin disable_functions gerir þér kleift að banna notkun ákveðinna innri aðgerða í forskriftum. Til dæmis er hægt að slökkva á "system, exec, passthru, popen, proc_open og shell_exec" til að loka fyrir köll á utanaðkomandi forrit, eða fopen til að koma í veg fyrir opnun skráa.
Athyglisvert er að fyrirhugaða árásin nýtir sér veikleika sem tilkynnt var til PHP forritara fyrir meira en 10 árum, en var talið minniháttar vandamál án öryggisáhrifa. Fyrirhugaða árásaraðferðin byggir á því að breyta breytugildum í ferlaminni og virkar í öllum núverandi PHP útgáfum, byrjandi með PHP 7.0 (árásin er einnig möguleg í PHP 5.x, en krefst breytinga á árásinni). Árásin hefur verið prófuð í ýmsum stillingum. Debian, Ubuntu, CentOS og FreeBSD með PHP í formi cli, fpm og einingar fyrir apache2.
Heimild: opennet.ru
