php seguridad
Páginas: 9 (2155 palabras)
Publicado: 28 de agosto de 2014
PHP
Objetivo: Ajustar los parámetros de PHP para disminuir la probabilidad de un ataque.
Desactivar opciones inseguras
* Register_globals.
Esta opción debe estar deshabilitada, register_globals=off
Register_globals transforma los parámetros incluidos en las peticiones en parámetros globales de PHP.
* allow_url_fopen.
Esta opción debe estar deshabilitada,allow_url_fopen=off.
Esta opción permite a los programadores tratar las URLs como si fueran archivos, esta opción viene activada por defecto en algunas versiones de PHP.
* Carga dinámica de módulos.
Esta función debe estar desactivada, enable_dl = Off.
Esto previene a los usuarios de ejecutar módulos php que afecten a cualquiera en el servidor. Si se usan librerías dinámicas, como ioncube, deberán sercargadas directamente en php.ini
* Información sobre PHP en las cabeceras del servidor web.
Se debe deshabilitar en el archivo php.ini esta opción dando el valor Off a la variable expose_php:
expose_php = Off
Desactivar funciones y clases peligrosas.
Mediante el uso de las directivas disable_functions y disable_classes es posible deshabilitar funciones y clases.
Lassiguientes funciones de integración de PHP/Apache son potencialmente peligrosas.
apache_child_terminate
apache_get_modules
apache_get_version
apache_getenv
apache_note
apache_setenv
virtual
show_resource
system
shell_exec
passthru
exec
phpinfo
popen
proc_open.
Si ninguno de los scripts de las aplicaciones que se ejecutan en PHP necesitan estas funciones se deben deshabilitar.Restricciones de acceso al sistema de archivos.
Se debe activar la opción open_basedir incluso en aquellos servidores con un único sitio web, y debe de apuntar un nivel por encima del directorio raíz del servidor web, la configuración sería open_basedir = /var/www/
Es importante recordar la diferencia entre establecer las restricciones a un prefijo frente a establecer lasrestricciones a un directorio, por ejemplo:
open_basedir=/var/www permitiría acceso tanto a archivos de /var/www como de /var/www2
... sin embargo si usamos ...
open_basedir=/var/www/ permitiría acceso a los archivos que estén únicamente en /var/www/.
Activando opciones de registro.
Por defecto no se registran todos los eventos en PHP. Hay mensajes importantes etiquetados con nivelE_NOTICE y que se pasan por alto.
Es importante activar el registro de todos los eventos con:
error_reporting = E_ALL
log_errors = On
En los servidores en producción se deberá desactivar la opción de mostrar errores de inicialización de PHP como errores de ejecución. Para ello:
display_errors = Off
display_startup_errors = Off
Establecer limites de memoria.
Phppermite establecer la cantidad de memoria que consume un script. En previsión de scripts que puedan estar mal programados y que podrían llegar a consumir toda la memoria y bloquear el sistema. Para Establecemos este valor con:
memory_limit = 8M ; 8 MB es la cantidad de memoria por defecto.
También debemos establecer el tamaño máximo de las peticiones POST, el valor de esta variable tiene queestar en concordancia con el tamaño
máximo de archivos que se puedan subir.
Establecemos este valor con:
post_max_size = 8M ; 8 MB es el tamaño máximo del POST por defecto.
Es posible establecer el tiempo máximo que puede estar PHP procesando la entrada de datos. El limite por defecto son 60 segundos, es conveniente incrementar este valor si hay usuarios con conexiones lentas subiendoarchivos de gran tamaño. La métrica que se da en http://www.apachesecurity.com sobre este asunto es, para una velocidad de 5KBps es posible subir 300 KB en 60 segundos. Con esta medida podemos valorar si es necesario incrementar este valor y en cuanto.
Establecemos este valor con:
max_input_time = 60
El limite de tiempo que un script PHP puede estar ejecutándose (sin incluir llamadas a...
Objetivo: Ajustar los parámetros de PHP para disminuir la probabilidad de un ataque.
Desactivar opciones inseguras
* Register_globals.
Esta opción debe estar deshabilitada, register_globals=off
Register_globals transforma los parámetros incluidos en las peticiones en parámetros globales de PHP.
* allow_url_fopen.
Esta opción debe estar deshabilitada,allow_url_fopen=off.
Esta opción permite a los programadores tratar las URLs como si fueran archivos, esta opción viene activada por defecto en algunas versiones de PHP.
* Carga dinámica de módulos.
Esta función debe estar desactivada, enable_dl = Off.
Esto previene a los usuarios de ejecutar módulos php que afecten a cualquiera en el servidor. Si se usan librerías dinámicas, como ioncube, deberán sercargadas directamente en php.ini
* Información sobre PHP en las cabeceras del servidor web.
Se debe deshabilitar en el archivo php.ini esta opción dando el valor Off a la variable expose_php:
expose_php = Off
Desactivar funciones y clases peligrosas.
Mediante el uso de las directivas disable_functions y disable_classes es posible deshabilitar funciones y clases.
Lassiguientes funciones de integración de PHP/Apache son potencialmente peligrosas.
apache_child_terminate
apache_get_modules
apache_get_version
apache_getenv
apache_note
apache_setenv
virtual
show_resource
system
shell_exec
passthru
exec
phpinfo
popen
proc_open.
Si ninguno de los scripts de las aplicaciones que se ejecutan en PHP necesitan estas funciones se deben deshabilitar.Restricciones de acceso al sistema de archivos.
Se debe activar la opción open_basedir incluso en aquellos servidores con un único sitio web, y debe de apuntar un nivel por encima del directorio raíz del servidor web, la configuración sería open_basedir = /var/www/
Es importante recordar la diferencia entre establecer las restricciones a un prefijo frente a establecer lasrestricciones a un directorio, por ejemplo:
open_basedir=/var/www permitiría acceso tanto a archivos de /var/www como de /var/www2
... sin embargo si usamos ...
open_basedir=/var/www/ permitiría acceso a los archivos que estén únicamente en /var/www/.
Activando opciones de registro.
Por defecto no se registran todos los eventos en PHP. Hay mensajes importantes etiquetados con nivelE_NOTICE y que se pasan por alto.
Es importante activar el registro de todos los eventos con:
error_reporting = E_ALL
log_errors = On
En los servidores en producción se deberá desactivar la opción de mostrar errores de inicialización de PHP como errores de ejecución. Para ello:
display_errors = Off
display_startup_errors = Off
Establecer limites de memoria.
Phppermite establecer la cantidad de memoria que consume un script. En previsión de scripts que puedan estar mal programados y que podrían llegar a consumir toda la memoria y bloquear el sistema. Para Establecemos este valor con:
memory_limit = 8M ; 8 MB es la cantidad de memoria por defecto.
También debemos establecer el tamaño máximo de las peticiones POST, el valor de esta variable tiene queestar en concordancia con el tamaño
máximo de archivos que se puedan subir.
Establecemos este valor con:
post_max_size = 8M ; 8 MB es el tamaño máximo del POST por defecto.
Es posible establecer el tiempo máximo que puede estar PHP procesando la entrada de datos. El limite por defecto son 60 segundos, es conveniente incrementar este valor si hay usuarios con conexiones lentas subiendoarchivos de gran tamaño. La métrica que se da en http://www.apachesecurity.com sobre este asunto es, para una velocidad de 5KBps es posible subir 300 KB en 60 segundos. Con esta medida podemos valorar si es necesario incrementar este valor y en cuanto.
Establecemos este valor con:
max_input_time = 60
El limite de tiempo que un script PHP puede estar ejecutándose (sin incluir llamadas a...
Leer documento completo
Regístrate para leer el documento completo.