شرح ملف php.ini و طريقة حماية موقعك عن طريقه



السلام عليكم و رحمة الله و بركاته
حاجه من الحاجات المتعارف عليها و اللي كتير مش بيقرب منها و هي ال php.ini
موجود فيه حاجات كتيره جدا متعلقه بال security issues
فعلي سبيل المثال
من احد السيناريوهات
ان فيه attacker معين فتح الموقع و حب يشوف صفحه معينه و فتح ال inspect و اتفرج علي ال headers هيشوف انت بتشتغل بانهي version من اللغه و فيه ادوات معينه دلوقتي بتعمل scan علي ال version و تقولك ايه ال possible vulnerabilities و ده اول الطريق عشان يدخلك علي الموقع و ده طبعا بعد ما خد لفه حلوه علي ال common vulnerabilities و شاف ان كل حاجه عندك تمام و مش عارف يدخل منها هيتبدي يتوجهه الي السيرفر و الاعدادات ديه
فانت بدورك تظبط الاعدادات اللي موجوده في ال php.ini
و ده اسكريبت علي ال githubb يساعدك و يقولك هل فيه حاجه المفروض تعملها ولا لا
https://github.com/psecio/iniscan
و ده برضو حاجه من خلالها تقدر تعمل version scan و تشوف هل فيه مشاكل معينه في الاصدار اللي عندك ولا لا و ده اول الطريق عشان تبتدي تشوف ايه هي الحلول اللي ممكن تعملها
https://github.com/psecio/versionscan
و من ضمن الحاجات اللي المفروض تاخد بالك منها في ال php .ini
display_errors = offان الايرورز متظهرش للناس
و لكن تظهرلك انت في السيرفر فقط
و يفضل كمان لو خليتها تتبعت علي هيئه ايميل و تتخلي عن السيرفر
log_errors = on
expose_php = off
و ديه عشان تتجنب ان في ال headers يتبعت ال  php version
; disabled opening remote files for fopen, fsockopen, file_get_contents and similar functions
allow_url_fopen = 0
; disabled including remote files for require, include ans similar functions
allow_url_include = 0

و ديه حاجات عشان تتجنب ان اليوزر يفتح ملفات او لينكات remotelyy و طبعا ده هيعمل مشكله عندك بالثغره المشهوره و هي RFI وال directory traversal
session.use_strict_mode = 1مهمه جدا جدا لانها بتمنع ما يسمي بال session fixation
ان اليوزر من نفسه هو اللي بيعمل session idd لنفسه و بالتالي السيرفر هيلاقي ان هو معندوش ال id ده او ما يسمي بال uninitialized session و بالتالي هيعمل create لفايل عنده بنفس ال id ده
و عشان نتجنب كده و نحمي اليوزرس عندنا لازم نفعل الخاصيه ديه
session.cookie_httponly = 1
بما ان احد الطرق ان السيشن تتنقل علي هيئه كوكي يبقا هي في خطر طالما انت محطتش الباراميتر بتاع الكوكي اللي هو الاخير true لان كده بكل بساطه اي حد ممكن يعدي عندك و يعمل document.cookie و يسحب السيشن ديه
و عشان كده لازم نفعل الخاصيه ديه و بكل بساطه بنقول ان السيشن اللي هتتنقل خلال الكوكي لينا صلاحيه عليها اننا نشوفها فقط من خلال ال http وليس من خلال اي شي اخر زي مثلا المتصفح
session.use_only_cookies = 1 بنسمح ان السيشن فقط تتنقل من خلال الكوكي ﻷن هي ممكن انها تتنقل من خلال ال url , hidden input field و ديه حاجات not recommended و for security considerations و تتجنب المشاكل اللي ممكن تحصل ان انت مش مفعلها و حد يتلاعب و يبعتلك السيشن في حاجه تانيه فعل الخاصيه ديه
اعتقد ان ديه معظم الحاجات اللي ممكن تحتاجها في الphp.ini و اكيد في حاجات تانيه بس ديه اهم الحاجات
و ده لينك فيه اهم الحاجات اللي ممكن تستخدمها عشان تحمي الموقع سواء في الثغرات اللي فيه او اللي في السيرفر
https://websectools.com/


المصدر

المواضيع الاخيرة

  • آي فون
  • اندرويد

تهكير لعبة ببجي موبايل للأندرويد و الآيفون 2021

كيف تقوم بتهكير لعبة ببجي للموبايل عبر إستعمال تطبيقات تهكير الألعاب بدون روت , مع شرح…

3 أسابيع منذ
  • آي فون

معرفة كلمة سر شبكة الوايرلس المتصل بها للايفون (2021)

معرفة كلمة سر الشبكة المتصل بها لهواتف الآيفون أمر في غاية السهولة و سوف نتأكد…

3 أسابيع منذ
  • آي فون
  • تهكير الألعاب

تهكير ببجي للايفون & بدون كسر الحماية 2021

تهكير ببجي للايفون أصعب قليلا على غرار الأندرويد , و هذا  بسبب الحماية العالية في…

3 أسابيع منذ
  • آي فون
  • اندرويد

نقل محادثات الواتس اب من الاندرويد الى الايفون 2021

اقدم لكم افضل طريقة من اجل نقل محادثات الواتس اب من الاندرويد الى الايفون2019  بكل سهولة…

3 أسابيع منذ
  • lucky patcher
  • تهكير الألعاب

برنامج تهكير الالعاب لوكي باتشر(lucky patcher) بالعربي

اذا كنت تبحث على افضل برنامج تهكير الالعاب فبرنامج Lucky Patcher هو الأفضل على الإطلاق في…

3 أسابيع منذ
  • lucky patcher
  • اندرويد
  • تهكير الألعاب

تحميل برنامج (lucky patcher) وتثبيته بدون روت 2021

طريقة تحميل برنامج أو تطبيق Lucky Patcher مجانا و البدأ في تهكير الألعاب, أفضل برنامج لتهكير…

3 أسابيع منذ