php.ini ನಲ್ಲಿ disable_functions ನಿರ್ದೇಶನ ಮತ್ತು ಇತರ ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ನಿರ್ಬಂಧಗಳನ್ನು PHP ಇಂಟರ್ಪ್ರಿಟರ್ನಲ್ಲಿ ಬೈಪಾಸ್ ಮಾಡಲು ವಿಧಾನವನ್ನು ಪ್ರಕಟಿಸಲಾಗಿದೆ. disable_functions ನಿರ್ದೇಶನವು ಸ್ಕ್ರಿಪ್ಟ್ಗಳಲ್ಲಿ ಕೆಲವು ಆಂತರಿಕ ಕಾರ್ಯಗಳ ಬಳಕೆಯನ್ನು ನಿಷೇಧಿಸಲು ಸಾಧ್ಯವಾಗಿಸುತ್ತದೆ ಎಂಬುದನ್ನು ನಾವು ನೆನಪಿಸಿಕೊಳ್ಳೋಣ, ಉದಾಹರಣೆಗೆ, ಬಾಹ್ಯ ಪ್ರೋಗ್ರಾಂಗಳಿಗೆ ಕರೆಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲು ನೀವು "system, exec, passthru, popen, proc_open ಮತ್ತು shell_exec" ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಬಹುದು ಅಥವಾ ನಿಷೇಧಿಸಲು fopen ಕಡತಗಳನ್ನು ತೆರೆಯಲಾಗುತ್ತಿದೆ.
ಪ್ರಸ್ತಾವಿತ ಶೋಷಣೆಯು 10 ವರ್ಷಗಳ ಹಿಂದೆ PHP ಡೆವಲಪರ್ಗಳಿಗೆ ವರದಿ ಮಾಡಲಾದ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸುತ್ತದೆ ಎಂಬುದು ಗಮನಾರ್ಹವಾಗಿದೆ, ಆದರೆ ಅವರು ಅದನ್ನು ಯಾವುದೇ ಭದ್ರತಾ ಪರಿಣಾಮವಿಲ್ಲದ ಸಣ್ಣ ಸಮಸ್ಯೆ ಎಂದು ಪರಿಗಣಿಸಿದ್ದಾರೆ. ಪ್ರಸ್ತಾವಿತ ದಾಳಿ ವಿಧಾನವು ಪ್ರಕ್ರಿಯೆಯ ಮೆಮೊರಿಯಲ್ಲಿನ ನಿಯತಾಂಕಗಳ ಮೌಲ್ಯಗಳನ್ನು ಬದಲಾಯಿಸುವುದರ ಮೇಲೆ ಆಧಾರಿತವಾಗಿದೆ ಮತ್ತು PHP 7.0 ನಿಂದ ಪ್ರಾರಂಭವಾಗುವ ಎಲ್ಲಾ ಪ್ರಸ್ತುತ PHP ಬಿಡುಗಡೆಗಳಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ (ದಾಳಿಯು PHP 5.x ನಲ್ಲಿಯೂ ಸಹ ಸಾಧ್ಯವಿದೆ, ಆದರೆ ಇದು ಶೋಷಣೆಗೆ ಬದಲಾವಣೆಗಳನ್ನು ಬಯಸುತ್ತದೆ) . ಶೋಷಣೆಯನ್ನು ಡೆಬಿಯನ್, ಉಬುಂಟು, ಸೆಂಟೋಸ್ ಮತ್ತು ಫ್ರೀಬಿಎಸ್ಡಿ ಯ ವಿವಿಧ ಕಾನ್ಫಿಗರೇಶನ್ಗಳಲ್ಲಿ ಪಿಎಚ್ಪಿಯೊಂದಿಗೆ ಕ್ಲಿ, ಎಫ್ಪಿಎಂ ಮತ್ತು ಅಪಾಚೆ 2 ಗಾಗಿ ಮಾಡ್ಯೂಲ್ ರೂಪದಲ್ಲಿ ಪರೀಕ್ಷಿಸಲಾಗಿದೆ.
ಮೂಲ: opennet.ru