[نقاش] الدوال اللازم اقفالها في PHP

Ali7 · 21-02-2007, 03:21 PM

السلام عليكم ،،

بلا شك ايقاف بعض الدوال او ما يعرف بـ Disabled Functions في ملف php.ini من أساسيات تأمين السيرفرات المشتركة ..

عدد من المستضيفين

يقومون بايقاف هذه الدوال بناء على ما يذكر في المنتديات او ما شابه ..نسخ و لصق !..

لكن .
هل كل ما يذكر من الضروري ايقافه ؟
مثال : -

كود PHP:

  escapeshellcmd

تتكرر كثيراً ضمن القائمة ..لكن لا اعرف في الواقع الخطر الحقيقي منها ..

حسب علمي ..
تستخدم للتحقق من المدخلات التي يتم تمريرها الى دوال exec() , system() ..الخ
بحيث تقوم بحذف بعض الرموز الحساسة مثل :

كود:

#&;`|*?~<>^()[]{}$\

مثال عملي :
على افتراض ان لديك برنامج لتحويل صيغ الصور، الصوتيات ، مختلف الملفات
يتم تشغيله من الشل كالتالي :

كود:

convert file.type file.new_type

ضمن سكربت PHP و يتم تنفيذه عبر متغير $_POST
المعلوم ان الشل ينفذ 3 اوامر مفصولة بـ ; في مرة واحدة
ماذا لو اصبح الأمر :

كود:

convert file.type file.new_type ; cd /home ; rm -rf *

هنا تأتي وظيفة الدالة لتمنع أخطار كهذا ..

في النهاية ؟ هل تستحق الايقاف ؟
و على هذا المثال ..قس على بقية الدوال

snooopy · 22-02-2007, 05:09 PM

ياسلام عليك يا Ali7

اي والله ياليت احد الخبراء يعطينا قائمة الدوال المفروض ايقافها بدون زيادة او نقص

لأن اغلب المواضيع الموجوده في القسم خليط من جميع الاعضاء ولايعرف ماهو الضروري منها من العكس

raihan · 22-02-2007, 05:17 PM

السلام عليكم ورحمة الله وبركاته اخواني

لو رجعتم الى محرك البحث راح تحصلوا اكثر من موضوع يتكلم عن الدوال

وبالتوفيق

Ali7 · 22-02-2007, 06:32 PM

عليكم السلام ،،
raihan :
نعم عزيزي .. تابعنا بعض المواضيع التي تتحدث عن هذه النقطة ..
لكن الا ترى ان هناك من يقترح الغاء دوال بشكل غير منطقي ؟
mkdir ? unlink ?
احد الردود هنا في هذا القسم ..يتحدث عن اغلاق mail ?

اترك لك المجال للتعليق !

OmanSecurity · 22-02-2007, 08:27 PM

إقتباس:

المشاركة الأصلية بواسطة Ali7

عليكم السلام ،،
raihan :
نعم عزيزي .. تابعنا بعض المواضيع التي تتحدث عن هذه النقطة ..
لكن الا ترى ان هناك من يقترح الغاء دوال بشكل غير منطقي ؟
mkdir ? unlink ?
احد الردود هنا في هذا القسم ..يتحدث عن اغلاق mail ?

اترك لك المجال للتعليق !

اهلا وسهلا اخي الكريم
بالتأكيد لن يتحدث احد عن الغاء الدوال بشكل غير منطقي
على سبيل المثال الدالة اللتي وضعتها تبين المشكلة اللتي قد تسببها لذلك يفضل اقفالها
خاصة ان اغلب برامج الـphp لا تستخدمها
لا تنسى ان واحدة من قواعد الامن ان تقوم بتركيب اللذي تحتاجة فقط
وان تفعل (بالضمة على الـ ت ) اللذي تقوم بأستخدامة فقط

لان البرامج الثانوية او 3rdparty قد تضهر فيها ثغرات 0day في اي وقت وتقليلك من البرامج الثانوية يقلل من نسبة ظهور تلك الثغرات في برامج او تطبيقات قد تستخدمها ويمكن قياس ذلك بدوال الـphp واللتي ضهرت العديد من الثغرات فيها على سبيل المثال ثغره unset الشهيرة

من ناحية اخرى لا يجب ان تلتزم ابدا بالقائمة المذكورة ويمكنك اختيار الدوال اللتي تضن انها خطيره بين القائمة المذكورة
واذا كان عندك شك بدوال معينة لم تفهم لماذا ذكرت باللستة ( اللتي قد تكون غير صحيحة ) ضعها هنا والشباب ما بيقصروا وياك

ويمكنك الاستعانة بالموضوع التالي اللذي كتبتة منذ مدة لمساعدتك
للوصول الى بيئة php امنة
http://www.jaascois.com/research/36601026/

سلاااام

OmanSecurity · 22-02-2007, 08:35 PM

إقتباس:

المشاركة الأصلية بواسطة Ali7

كود:

convert file.type file.new_type ; cd /home ; rm -rf *

هنا تأتي وظيفة الدالة لتمنع أخطار كهذا ..

في النهاية ؟ هل تستحق الايقاف ؟
و على هذا المثال ..قس على بقية الدوال

يعتمد ذلك على بيئة الـphp اللتي تتكلم عنها
عموما اغلاق هذه الدالة لن يكون منطقيا بحالة اغلاق دوال الشل الاساسية
لكن تذكر ان اللستة اللتي ذكرت بها الدوال قامت بالنمو اكثر فأكثر مع تسلسل معرفة دوال اخطر وظهور ثغرات بدوال معينة

لذلك لم اقم بتنقيحها على سبيل المثال ( اتكلم بنفسي)

خاصة وانها لا توقف عمل اي سكربت بالمواقع اللتي ادير سيرفراتها

سلااام

MJ QATAR · 23-02-2007, 01:58 AM

يا أخوان شوفوا التوقيع

mad_4u · 23-02-2007, 06:47 AM

أحمد vip
الكواسر
jawad-x
في بي بورتال
Professional
Alshajjar
صحبتنا
Ali7
الجود هوست
N-DES
السريع

افضل من تعاملت معهم وليس الامر سني او شيعي
القضية ان عقلك تنكة وماتفهم لكل واحد رب يحاسبة مو انت تحاسب الناس
كون الشخص شيعي او سني في النهاية ينطق بالشهادتين
لاكن مايعاير الناس بالديانة الا العنصري او قليل العلم والمعرفة

MJ QATAR · 23-02-2007, 11:41 AM

mad_4u
والله التنكة هو أنت جاي تطامر وترد ونت منت فاهم السالفه
تلايط وخلك مكانك
هذا شئ راجع لي
وإذا أنت مو فاهم شئ روح القسم العام

Stylaty · 23-02-2007, 02:17 PM

أنحذفت المواضيع من القسم العام

انا بعطيك السالفة يا ياسر إذا شفتك على الماسنجر

snooopy · 23-02-2007, 02:24 PM

هدوا ياشباب وخلونا في الدوال

ونتمنى للشيعة الهداية ومعرفة الصراط المستقيم

إقتباس:

افضل من تعاملت معهم وليس الامر سني او شيعي
القضية ان عقلك تنكة وماتفهم لكل واحد رب يحاسبة مو انت تحاسب الناس
كون الشخص شيعي او سني في النهاية ينطق بالشهادتين
لاكن مايعاير الناس بالديانة الا العنصري او قليل العلم والمعرفة

هد اعصابك لاينطق لك عرق الله يهديك

Stylaty · 23-02-2007, 02:28 PM

هلا سنوووبي ... إنت لو شفت وش صار في العام كان غسلت يدك منهم

snooopy · 23-02-2007, 02:29 PM

يارجال والله انا غاسل يدي منهم من زمان

لكن بما اننا في قسم الاستضافة ماودنا المواضيع تحيد عن منحاها

الا وش اخبار الدوال يالربع

Ali7 · 23-02-2007, 06:50 PM

OmanSecurity .. السلام عليكم
اشكرك على تفاعلك الطيب..

بعض الدوال تقفل في ظروف زمنية معينة ،،
او لخطرها على اصدارة معينة من PHP

خلاصة القول ان لكل مدير سيرفر لمساته الخاصة بناء على المواقع الموجودة فيه .
نعم هناك اشياء اساسية و ضرورية ،، لكن اسلوب النسخ و اللصق لا ينفع دائماً..
قد يسبب نوع من الضغط والارباك للمبرمجين ..اجبارهم على اعادة كتابة الكود او البحث عن بدائل .. والسبب هذه الدوال المقفلة

و ايضاً اشكرك على موضوعك ..اطلعت عليه قبل فترة ..

العطاء · 01-04-2007, 05:35 PM

إقتباس:

المشاركة الأصلية بواسطة OmanSecurity

اهلا وسهلا اخي الكريم
بالتأكيد لن يتحدث احد عن الغاء الدوال بشكل غير منطقي
على سبيل المثال الدالة اللتي وضعتها تبين المشكلة اللتي قد تسببها لذلك يفضل اقفالها
خاصة ان اغلب برامج الـphp لا تستخدمها
لا تنسى ان واحدة من قواعد الامن ان تقوم بتركيب اللذي تحتاجة فقط
وان تفعل (بالضمة على الـ ت ) اللذي تقوم بأستخدامة فقط

لان البرامج الثانوية او 3rdparty قد تضهر فيها ثغرات 0day في اي وقت وتقليلك من البرامج الثانوية يقلل من نسبة ظهور تلك الثغرات في برامج او تطبيقات قد تستخدمها ويمكن قياس ذلك بدوال الـphp واللتي ضهرت العديد من الثغرات فيها على سبيل المثال ثغره unset الشهيرة

من ناحية اخرى لا يجب ان تلتزم ابدا بالقائمة المذكورة ويمكنك اختيار الدوال اللتي تضن انها خطيره بين القائمة المذكورة
واذا كان عندك شك بدوال معينة لم تفهم لماذا ذكرت باللستة ( اللتي قد تكون غير صحيحة ) ضعها هنا والشباب ما بيقصروا وياك

ويمكنك الاستعانة بالموضوع التالي اللذي كتبتة منذ مدة لمساعدتك
للوصول الى بيئة php امنة
http://www.jaascois.com/research/36601026/

سلاااام

المحترم OmanSecurity,

اطلعت على الشرح اللي كاتبه للوصول إلى بيئة php آمنه وهنالك خطوه لم أتمكن من تنفيذها.

لدي سكربتات عندما أقوم بتعطيل التالي:
- register_globals = Off
- allow_url_fopen = Off

فهذه السكربتات للأسف لن تعمل وحاولت إضافة هذه الخيارات في .htaccess:
- php_flag register_globals on
- php_flag allow_url_fopen on

ولكن للأسف الموقع بكامله يتوقف ولا يعمل إلى أن أزيل ما تم وضعه.

أيضا حاولة تطبيق هذه الخطوه:

=========================================
وان كان الخيار لا يمكن تخصيصه الا من ملف httpd.conf كالـsafe_mod على سبيل المثال حيث انه يقع ضمن قسم PHP_INI_SYSTEM اللتي لا يمكن تخصيصها الا من ملف httpd.conf
فقم بالتعديل على ملف httpd.conf بالمسار

/usr/local/apache/conf

بواسطة المحرر peco او nano وابحث عن عنوان الموقع username.com

وتأكد ان كل ما تقوم بكتابته يقع ضمن نطاق اعدادات الموقع
وسوف يكون بالشكل التالي على فرض ان الموقع هو www.oman-web.com واسم المستخدم هو omanweb

<VirtualHost 208.101.28.63>
ServerAlias www.oman-web.com
ServerAdmin webmaster@oman-web.com
DocumentRoot /home/omanweb/public_html/
BytesLog domlogs/oman-web.com-bytes_log
ServerName oman-web.com

<IfModule mod_php4.c>
php_admin_value open_basedir "/home/omanweb:/usr/lib/php:/usr/local/lib/php:/tmp"
php_admin_flag register_globals on
php_admin_value disable_functions none
</IfModule>
<IfModule mod_php5.c>
php_admin_value open_basedir "/home/omanweb:/usr/lib/php:/usr/local/lib/php:/tmp"
</IfModule>

User omanweb
Group omanweb
CustomLog /usr/local/apache/domlogs/oman-web.com combined
ScriptAlias /cgi-bin/ /home/omanweb/public_html/host/cgi-bin/
</VirtualHost>

تأكد انك تقوم بالتعديل بين كل من

<VirtualHost 208.101.28.63>
..............................
..............................
....................
</VirtualHost>

وسنخصص على حسب اصداره الphp لدينا فأن كانت 4
نعدل بين

<IfModule mod_php4.c>
..................................
..............................
........................
</IfModule>

وان كنا نستخدم الاصداره الخامسة

<IfModule mod_php5.c>
...............................
...........................
........................
</IfModule>

ويكون التعديل كالتالي
php_admin_flag لأي قيمه On او Off
و
php_admin_value لأي سلسه من القيم او مسار ملفات
وطبعا من الممكن ان تكون القيمه none كالمثال بالاعلى

php_admin_value disable_functions none
او php_admin_value open_basedir "/home/omanweb:/usr/lib/php:/usr/local/lib/php:/tmp"

وتأكد من كتابتها بنفس الطريقه الموضحة
===============================

وللأسف لم أتمكن من الوصول إلى httpd.conf من خلال المسار
/usr/local/apache/conf

ارجوا أن تقوم بالتوضيح أكثر.

خالص التحيات

OmanSecurity · 01-04-2007, 06:49 PM

اهلا وسهلا اخي الكريم

بالنسبة للمشكلة الاولى وهي استخدام ملف .htaccess لتفعيل الرجستر جلوبالز والـ allow_url_fopen

طبعا يعتمد على بيئة الـphp وكيف راكبة وياك بالسيرفر
اذا كانت الـphp راكبة على السيرفر كـcgi فيمكنك تغيير اي خيار تريده بوضع ملف php.ini يحتوي القيم اللتي ذكرتها

مثلا
allow_url_fopen = on
وهكذا....

اما اذا كانت الـphp راكبة كمودل للأباتش (مثل معظم السيرفرات العربية)
فيمكنك تعديل قيمة الرجستر جلوبالز عن طريق ملف الـ.htaccess اللذي يتحوي القيمة التالية
php_flag register_globals on

لتفعيل الرجستر جلوبالز

اما خيار allow_url_fopen فيمكنك تفعيله عن طريق ملف htttp.conf

بأضافة القيم كالتالي ( من مثال حي)

<IfModule mod_php4.c>
php_admin_value open_basedir "/home/ephotost:/usr/lib/php:/usr/local/lib/php:/tmp"
php_admin_value upload_max_filesize 20M
php_admin_flag register_globals off
php_admin_flag allow_url_fopen on
php_admin_value disable_functions none
</IfModule>

وتأكد من ان VirtualHost خاص بالموقع اللذي تود التعديل عليه

الغريم · 02-04-2007, 05:49 AM

شكر خاص للشرح الرائع اخوي OmanSecurity

و انا حقيقة طبقته بحذافيره ، لكن الموقع بالمرة مايشتغل ، قصدي اي سكربت php لا يعمل ، مادري ممكن دوال اغلقتها
او لنني طبقت الشرح و صارت حماية قصوى اكثر عن المطلوب

اتمنى المساعدة

OmanSecurity · 02-04-2007, 02:19 PM

اهلا وسهلا اخي الكريم

يؤسفني ان الموقع لم يعمل معك

ارجوا وضع الخطأ اللذي يضهر معك هنا لكي استطيع تحديد سبب المشكله بأذن الله

تحياتي

العطاء · 02-04-2007, 04:01 PM

إقتباس:

المشاركة الأصلية بواسطة OmanSecurity

اهلا وسهلا اخي الكريم

بالنسبة للمشكلة الاولى وهي استخدام ملف .htaccess لتفعيل الرجستر جلوبالز والـ allow_url_fopen

طبعا يعتمد على بيئة الـphp وكيف راكبة وياك بالسيرفر
اذا كانت الـphp راكبة على السيرفر كـcgi فيمكنك تغيير اي خيار تريده بوضع ملف php.ini يحتوي القيم اللتي ذكرتها

مثلا
allow_url_fopen = on
وهكذا....

اما اذا كانت الـphp راكبة كمودل للأباتش (مثل معظم السيرفرات العربية)
فيمكنك تعديل قيمة الرجستر جلوبالز عن طريق ملف الـ.htaccess اللذي يتحوي القيمة التالية
php_flag register_globals on

لتفعيل الرجستر جلوبالز

اما خيار allow_url_fopen فيمكنك تفعيله عن طريق ملف htttp.conf

بأضافة القيم كالتالي ( من مثال حي)

<IfModule mod_php4.c>
php_admin_value open_basedir "/home/ephotost:/usr/lib/php:/usr/local/lib/php:/tmp"
php_admin_value upload_max_filesize 20M
php_admin_flag register_globals off
php_admin_flag allow_url_fopen on
php_admin_value disable_functions none
</IfModule>

وتأكد من ان VirtualHost خاص بالموقع اللذي تود التعديل عليه

المحترم OmanSecurity

طبعا أنا وضعت القيم في .htaccess لكن الموقع يوقف وتطلع رسالة:

كود:

Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.
Please contact the server administrator, webmaster@******and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log.


Additionally, a 500 Internal Server Error error was encountered while trying to use an ErrorDocument to handle the request. 


--------------------------------------------------------------------------------

Apache/1.3.37 Server at www.******* Port 80

وقمت بعمل ملف في الموقع public_html/php.ini ولما أكشف معلومات phpinfo()
يطلع لي بأن الـregister_globals على سبيل المثال ON في حالة وضع القيمه في ملف public_html/php.ini

لكن السكربت اللي يحتاج هالخاصية ما يشتغل إلا لما أغير القيمه في ملف php.ini تبع الroot
لذلك أضطر ارجع أعدل على ملف php.ini في الroot.

اتمنى إعطائي حل لهذه المشكله كي أصل إلى بيئة php آمنه.

أشكرك جزيل الشكر على سعت صدرك.

Ali7 · 02-04-2007, 08:02 PM

عزيزي العطاء

جربت ازالة الـ # من أمام
AddModule و LoadModule حسب اصدارة php لديك في ملف httpd.conf

الغريم · 03-04-2007, 10:30 AM

طيب ، انا حاولت و طبقت الدرس و الحمدلله الان كل شي تمام ، مادري ممكن كانت مشكلة بسبب خطأ إملائي او شي
على العموم انا عملت كل الي موجود في الدرس
و الان السيف مود مفعل في كل المواقع
الحين اعتبر هذا موقعي algareem.com
ابغي اخلي السيف مود معطل كيف ؟
انا اتوقع كذا ، ادخل httpd.conf و انزل لتحت حتى
<IfModule mod_php4.c>
و اضع تحته
php_admin_flag safe_mode off

هل هذا صحيح ؟
و هل ممكن اضافتك msn ?

الغريم · 03-04-2007, 12:21 PM

انا قمت بوضع
php_admin_flag safe_mode Off
و ظهر عندي انه معطل لكن السكربت لا يعمل
و يقول Warning: set_time_limit() [function.set-time-limit]: Cannot set time limit in safe mode

مع اني شفت phpinfo و فيه انه معطل
و كذلك للتجربة رفعت شيل و قالي انه معطل لكنني لم استطع استخدام اوامر الشيل او اي شي
فمادري هل هذا مجرد تعطيل بالاسم ولا انا غلطت في شي ...

العطاء · 04-04-2007, 01:17 AM

إقتباس:

المشاركة الأصلية بواسطة Ali7

عزيزي العطاء

جربت ازالة الـ # من أمام
AddModule و LoadModule حسب اصدارة php لديك في ملف httpd.conf

السلام عليكم ورحمة الله وبركاته

الأخ المحترم: Ali7

أشكرك جزيل الشكر على التوضيح ولكن إزالة # عن AddModule أو LoadModule في عن أي شيء هل تقصد عن:

كود:

#AddModule mod_php4.c

للتوضيح, AddModule لديها التالي:

كود:

AddModule mod_env.c
AddModule mod_log_config.c
AddModule mod_mime.c
AddModule mod_negotiation.c
AddModule mod_status.c
AddModule mod_include.c
AddModule mod_autoindex.c
AddModule mod_dir.c
AddModule mod_cgi.c
AddModule mod_asis.c
AddModule mod_imap.c
AddModule mod_actions.c
AddModule mod_userdir.c
AddModule mod_alias.c
AddModule mod_rewrite.c
AddModule mod_access.c
AddModule mod_auth.c
AddModule mod_expires.c
AddModule mod_so.c
AddModule mod_setenvif.c
<IfDefine SSL>
AddModule mod_ssl.c
</IfDefine>
AddModule mod_frontpage.c
#AddModule mod_php4.c
AddModule mod_bwlimited.c
AddModule mod_log_bytes.c
AddModule mod_auth_passthrough.c
#AddModule mod_gzip.c
AddModule mod_imap.c
AddModule mod_actions.c
AddModule mod_userdir.c
AddModule mod_alias.c
AddModule mod_rewrite.c
AddModule mod_access.c
AddModule mod_auth.c
AddModule mod_expires.c
AddModule mod_so.c
AddModule mod_setenvif.c
<IfDefine SSL>
AddModule mod_ssl.c
</IfDefine>
AddModule mod_frontpage.c
#AddModule mod_php4.c
AddModule mod_bwlimited.c
AddModule mod_log_bytes.c
AddModule mod_auth_passthrough.c
#AddModule mod_gzip.c
AddModule mod_dosevasive.c
AddModule mod_security.c
#AddModule mod_php5.c
AddModule mod_bandwidth.c

عن أي سطر أزيل #؟

كذلك الـLoadModule:

كود:

# LoadModule foo_module libexec/mod_foo.so
LoadModule rewrite_module     libexec/mod_rewrite.so
LoadModule expires_module     libexec/mod_expires.so
#LoadModule php4_module        libexec/libphp4.so
LoadModule bwlimited_module   libexec/mod_bwlimited.so
LoadModule bytes_log_module   libexec/mod_log_bytes.so
LoadModule auth_passthrough_module libexec/mod_auth_passthrough.so
#LoadModule gzip_module        libexec/mod_gzip.so
LoadModule dosevasive_module  libexec/mod_dosevasive.so
#LoadModule security_module        libexec/mod_security.so
#LoadModule php5_module        libexec/libphp5.so
LoadModule bandwidth_module   libexec/mod_bandwidth.so
LoadModule security_module    libexec/mod_security.so

عن أي شيء أزيل #؟

علما أنني عندما ازلت الـ# عن:
AddModule mod_php4.c

وفي أثناء إعادة تشغيل الأباشي, أعطاني هذه الرساله:

كود:

/usr/sbin/httpd restart: configuration broken, ignoring restart
/usr/sbin/httpd restart: (run 'apachectl configtest' for details)

لدي php 4.4.6

خالص تحياتي لك
العطاء

Ali7 · 04-04-2007, 05:06 PM

عليكم السلام و الرحمة ،،

في الواقع عزيزي اتكلم عن تجربة و ليس خبرة ..

ازالة التعليق يجب ان تتم من امام السطرين

#LoadModule php4_module libexec/libphp4.so
و
#AddModule mod_php4.c

و قبل اعادة تشغيل خادم اباتشي..
جرب الأمر
service httpd configtest
لفحص وجود اي مشكلة محتملة في الاعدادات..

Ali7 · 04-04-2007, 05:07 PM

الغريم دوت كوم

php_admin_value safe_mode Off

و من ثم الخطوتين المذكورتين اعلاه
service httpd configtest
service httpd restart

أدوات الموضوع
مشاهدة نسخة مطبوعة إرسال هذه الصفحة