Boas práticas de segurança com o php.ini


Introdução

Utilizar boas praticas de segurança para impedir ataques de SQL Injection, RFI, LFI e outros.

Pratica

Normalmente o php.ini esta armazenado em “C:\Program Files (x86)\php\php.ini”, mas pode variar o local de armazenamento.

Pode ser que em algumas ocasiões as variáveis abaixo estejam habilitadas. Como uma pratica de segurança e’ necessários que essas variáveis estejam desabilitadas (Off), lembrando que ao desabilitar essas variáveis não impacta de forma alguma em seu ambiente. Portanto DESABILITE.

#VARIAVEIS

# Impede ataques de RFI e LFI ( Remote e Local File Inclusion )
allow_url_fopen = Off

# Impede que mensagens de erros sejam exibidas no browser
display_errors = Off

# Impede a execução de caracteres especiais digitados em campos de formulário convertendo-os em barra invertida. Protege contra ataques de SQL injection
magic_quotes_gpc = Off

# Impede o acesso a arquivos remotos através dos parâmetros include ou require, evitando injeção de código malicioso.
allow_url_include = Off

# Impede a exibição das informações sobre o PHP no browser
expose_php = Off

# Impede a execução de strings maliciosas devido as falhas no desenvolvimento da aplicação.
register_globals = Off

Referencias

http://www.php.net/
http://alexos.org

Erick Albuquerque | Moderator at Technet Brasil
https://iisbrasil.wordpress.com/ | http://erickalbuquerque.com.br/

Anúncios

Bloqueando SQL Injection com URL Rewrite


Ola,

Creio que seja uma preocupação de todos os ataques de SQL Injection nos diversos tipos de aplicações, mas existem algumas formas de bloquear este tipo de ataque, uma delas ‘e com o URL Rewrite utilizando expressão regular, o código abaixo deve ser colocado em um arquivo web.config.

 

<rewrite>

<rules>

<rule name=”Filter SQL injection” stopProcessing=”true”>

<match url=”.*” />

<conditions>

<add input=”{REQUEST_URI}” pattern=”[dD][\%]*[eE][\%]*[cC][\%]*[lL][\%]*[aA][\%]*[rR][\%]*[eE][\s\S]*[@][a-zA-Z0-9_]+[\s\S]*[nN]*[\%]*[vV][\%]*[aA][\%]*[rR][\%]*[cC][\%]*[hH][\%]*[aA][\%]*[rR][\s\S]*[eE][\%]*[xX][\%]*[eE][\%]*[cC][\s\S]*” />

</conditions>

<action type=”AbortRequest” />

</rule>

</rules>

</rewrite>