.

Breaking News
recent

-

Seguridad en entornos PHP (Nivel Medio)




Hoy vamos a tratar un tema bastante importante en la seguridad de nuestros servidores: La configuración de PHP
En esta guía les indicaré las modificaciones básicas y al final les dejaré un aplicación excelente para comprobar el estado de seguridad nuestro Php. En algunos de los tips, les dejarè 2 alternativas para hacer las modificaciones, la primera será desde el mismísimo php.ini (/etc/php5/apache2) y la otra desde el .htaccess. Cuál es la diferencia? desde el php.ini se establecerán las reglas de forma global, alcanzando todos los sitios de nuestro server, en cambio desde el .htaccess, podrán ir aplicando las modificaciones en los sitios acorde a las necesidades de cada uno. Comenzemos...

Deshabilitar magic_quotes_gpc y magic_quotes
Algunos caracteres deben escaparse (es decir, colocar una contrabarra antes del carácter) antes de poderse utilizar en consultas a bases de datos, ya que esos caracteres tienen significados especiales y provocarían resultados inesperados (o lo que es peor, provocados por usuarios maliciosos). El mecanismo de las comillas mágicas (magic quotes) se introdujo en PHP 3 para evitar ese problema y consiste en que si la directiva magic_quotes_gpc tiene el valor On, PHP escapa automáticamente todos los datos recibidos por los mecanismos GPC (Get/Post/Cookie).


Desde PHP.ini
Buscar las siguientes líneas y cambiar los valores a Off

magic_quotes_gpc = Off
magic_quotes_runtime = Off
magic_quotes_sybase = Off


Desde .htaccess
Agregar para deshabilitar magic_quotes_gpc y magic_quotes

php_flag magic_quotes_gpc off
php_flag magic_quotes_runtime off 
php_flag magic_quotes_sybase off 



Deshabilitar expose_php

Cuando la funcion esta en "off" oculta información como la versión de PHP que estamos usando y que extensiones tenemos. Es sumamente importante deshabilitarlo.

Desde PHP.ini
Buscar las siguientes líneas y cambiar los valores a Off
expose_php = 'off'

Deshabilitar register_globals
La directiva register_globals especifica si las variables EGPCS (Entorno, GET, POST, Cookies y Servidor) se registran automáticamente como variables globales.


Desde PHP.ini
Buscar las siguientes líneas y cambiar los valores a Off
register_globals = Off

Configurar open_basedir
open_basedir evita que los usuarios abran archivos fuera de su directorio con scripts PHP.
Desde PHP.ini buscar open_base_dir quitar el ; y completar como figura abajo

open_basedir = /var/:/usr/local/php/


phpsecinfo la herramienta prometida




Una vez descargado, lo descomprimen en la carpeta su server, lo renombran a phpsecinfo y luego desde el navegador se dirigen a: http://localhost/phpsecinfo
En donde podrán ver que fallos de seguridad deben o pueden corregir y cuales ya están corregidos, como así también se les aconsejará de que forma hacer los cambios necesarios para tener nuestro Php bien configurado y listo para hacerle frente a los Kaker's Si bien esta herramienta está en ingles, los consejos son cortos y no se necesita ser yanqui para entenderlos y en el peor de los casos, por suerte hay muchos traductores online


Descargar desde web oficial



Espero les sea de utilidad esta info, como siempre espero sus comentarios y pedidos... Saludos






No hay comentarios:

Publicar un comentario

-

Con la tecnología de Blogger.