php.ini-ലെ disable_functions നിർദ്ദേശവും മറ്റ് ക്രമീകരണങ്ങളും ഉപയോഗിച്ച് വ്യക്തമാക്കിയ നിയന്ത്രണങ്ങൾ PHP ഇന്റർപ്രെറ്ററിൽ മറികടക്കുന്നതിനുള്ള ഒരു രീതി പ്രസിദ്ധീകരിച്ചു. സ്ക്രിപ്റ്റുകളിൽ ചില ആന്തരിക ഫംഗ്ഷനുകൾ ഉപയോഗിക്കുന്നത് നിരോധിക്കുന്നത് disable_functions നിർദ്ദേശം സാധ്യമാക്കുന്നുവെന്നത് നമുക്ക് ഓർക്കാം, ഉദാഹരണത്തിന്, ബാഹ്യ പ്രോഗ്രാമുകളിലേക്കുള്ള കോളുകൾ തടയുന്നതിന് നിങ്ങൾക്ക് “system, exec, passthru, popen, proc_open, shell_exec” എന്നിവ പ്രവർത്തനരഹിതമാക്കാം അല്ലെങ്കിൽ നിരോധിക്കാൻ fopen ഫയലുകൾ തുറക്കുന്നു.
10 വർഷത്തിലേറെ മുമ്പ് PHP ഡെവലപ്പർമാർക്ക് റിപ്പോർട്ട് ചെയ്യപ്പെട്ട ഒരു അപകടസാധ്യതയാണ് നിർദ്ദിഷ്ട ചൂഷണം ഉപയോഗിക്കുന്നത് എന്നത് ശ്രദ്ധേയമാണ്, എന്നാൽ സുരക്ഷാ സ്വാധീനമില്ലാത്ത ഒരു ചെറിയ പ്രശ്നമായി അവർ ഇതിനെ കണക്കാക്കി. പ്രോസസ് മെമ്മറിയിലെ പാരാമീറ്ററുകളുടെ മൂല്യങ്ങൾ മാറ്റുന്നതിനെ അടിസ്ഥാനമാക്കിയുള്ളതാണ് നിർദ്ദിഷ്ട ആക്രമണ രീതി, PHP 7.0 മുതൽ നിലവിലുള്ള എല്ലാ പിഎച്ച്പി റിലീസുകളിലും പ്രവർത്തിക്കുന്നു (പിഎച്ച്പി 5.x-ലും ആക്രമണം സാധ്യമാണ്, എന്നാൽ ഇതിന് ചൂഷണത്തിൽ മാറ്റങ്ങൾ ആവശ്യമാണ്) . ഡെബിയൻ, ഉബുണ്ടു, സെന്റോസ്, ഫ്രീബിഎസ്ഡി എന്നിവയുടെ വിവിധ കോൺഫിഗറേഷനുകളിൽ പിഎച്ച്പി ഉപയോഗിച്ച് ക്ലൈ, എഫ്പിഎം, അപ്പാച്ചെ 2-നുള്ള മൊഡ്യൂൾ എന്നിവയുടെ രൂപത്തിൽ ഈ ചൂഷണം പരീക്ഷിച്ചു.
അവലംബം: opennet.ru