شرح ملف php.ini و طريقة حماية موقعك عن طريقه

0


السلام عليكم و رحمة الله و بركاته 
حاجه من الحاجات المتعارف عليها و اللي كتير مش بيقرب منها و هي ال php.ini 
موجود فيه حاجات كتيره جدا متعلقه بال security issues 
فعلي سبيل المثال
من احد السيناريوهات
ان فيه attacker معين فتح الموقع و حب يشوف صفحه معينه و فتح ال inspect  و اتفرج علي ال headers هيشوف انت بتشتغل بانهي version من اللغه و فيه ادوات معينه دلوقتي بتعمل scan علي ال version و تقولك ايه ال possible vulnerabilities و ده اول الطريق عشان يدخلك علي الموقع و ده طبعا بعد ما خد لفه حلوه علي ال common vulnerabilities و شاف ان كل حاجه عندك تمام و مش عارف يدخل منها هيتبدي يتوجهه الي السيرفر و الاعدادات ديه
فانت بدورك تظبط الاعدادات اللي موجوده في ال php.ini 
و ده اسكريبت علي ال githubb يساعدك و يقولك هل فيه حاجه المفروض تعملها ولا لا
https://github.com/psecio/iniscan
و ده برضو حاجه من خلالها تقدر تعمل version scan و تشوف هل فيه مشاكل معينه في الاصدار اللي عندك ولا لا و ده اول الطريق عشان تبتدي تشوف ايه هي الحلول اللي ممكن تعملها 
https://github.com/psecio/versionscan
و من ضمن الحاجات اللي المفروض تاخد بالك منها في ال php .ini 
display_errors = offان الايرورز متظهرش للناس
و لكن تظهرلك انت في السيرفر فقط 
و يفضل كمان لو خليتها تتبعت علي هيئه ايميل و تتخلي عن السيرفر 
 log_errors = on
expose_php = off 
و ديه عشان تتجنب ان في ال headers يتبعت ال  php version
; disabled opening remote files for fopen, fsockopen, file_get_contents and similar functions
allow_url_fopen = 0
; disabled including remote files for require, include ans similar functions
allow_url_include = 0 

و ديه حاجات عشان تتجنب ان اليوزر يفتح ملفات او لينكات remotelyy و طبعا ده هيعمل مشكله عندك بالثغره المشهوره و هي RFI وال directory traversal 
session.use_strict_mode = 1مهمه جدا جدا لانها بتمنع ما يسمي بال session fixation
ان اليوزر من نفسه هو اللي بيعمل session idd لنفسه و بالتالي السيرفر هيلاقي ان هو معندوش ال id ده او ما يسمي بال uninitialized session و بالتالي هيعمل create لفايل عنده بنفس ال id ده 
و عشان نتجنب كده و نحمي اليوزرس عندنا لازم نفعل الخاصيه ديه
session.cookie_httponly = 1
 بما ان احد الطرق ان السيشن تتنقل علي هيئه كوكي يبقا هي في خطر طالما انت محطتش الباراميتر بتاع الكوكي اللي هو الاخير true لان كده بكل بساطه اي حد ممكن يعدي عندك و يعمل document.cookie و يسحب السيشن ديه 
 و عشان كده لازم نفعل الخاصيه ديه و بكل بساطه بنقول ان السيشن اللي هتتنقل خلال الكوكي لينا صلاحيه عليها اننا نشوفها فقط من خلال ال http وليس من خلال اي شي اخر زي مثلا المتصفح 
session.use_only_cookies = 1 بنسمح ان السيشن فقط تتنقل من خلال الكوكي ﻷن هي ممكن انها تتنقل من خلال ال url , hidden input field و ديه حاجات not recommended و for security considerations و تتجنب المشاكل اللي ممكن تحصل ان انت مش مفعلها و حد يتلاعب و يبعتلك السيشن في حاجه تانيه فعل الخاصيه ديه
اعتقد ان ديه معظم الحاجات اللي ممكن تحتاجها في الphp.ini و اكيد في حاجات تانيه بس ديه اهم الحاجات 
 و ده لينك فيه اهم الحاجات اللي ممكن تستخدمها عشان تحمي الموقع سواء في الثغرات اللي فيه او اللي في السيرفر 
https://websectools.com/


المصدر 

Leave A Reply

Your email address will not be published.