php.iniలో disable_functions డైరెక్టివ్ మరియు ఇతర సెట్టింగ్లను ఉపయోగించి పేర్కొన్న పరిమితులను PHP ఇంటర్ప్రెటర్లో దాటవేయడానికి ఒక పద్ధతి ప్రచురించబడింది. disable_functions డైరెక్టివ్ స్క్రిప్ట్లలో కొన్ని అంతర్గత ఫంక్షన్ల వినియోగాన్ని నిషేధించడాన్ని సాధ్యం చేస్తుందని గుర్తుచేసుకుందాం, ఉదాహరణకు, మీరు బాహ్య ప్రోగ్రామ్లకు కాల్లను నిరోధించడానికి “system, exec, passthru, popen, proc_open మరియు shell_exec”ని నిలిపివేయవచ్చు లేదా నిషేధించడానికి fopen ఫైళ్లను తెరవడం.
ప్రతిపాదిత దోపిడీ 10 సంవత్సరాల క్రితం PHP డెవలపర్లకు నివేదించబడిన దుర్బలత్వాన్ని ఉపయోగిస్తుంది, అయితే వారు భద్రతా ప్రభావం లేని చిన్న సమస్యగా పరిగణించారు. ప్రతిపాదిత దాడి పద్ధతి ప్రాసెస్ మెమరీలో పారామితుల విలువలను మార్చడంపై ఆధారపడి ఉంటుంది మరియు PHP 7.0తో ప్రారంభించి అన్ని ప్రస్తుత PHP విడుదలలలో పని చేస్తుంది (దాడి PHP 5.xపై కూడా సాధ్యమే, కానీ దీనికి దోపిడీకి మార్పులు అవసరం) . PHPతో డెబియన్, ఉబుంటు, సెంటొస్ మరియు ఫ్రీబిఎస్డి యొక్క వివిధ కాన్ఫిగరేషన్లపై క్లయి, ఎఫ్పిఎమ్ మరియు అపాచీ2 కోసం మాడ్యూల్ రూపంలో దోపిడీ పరీక్షించబడింది.
మూలం: opennet.ru