可通过禁用危险函数、启用open_basedir限制、关闭错误信息对外显示及部署waf规则等配置与运行时防护措施,临时降低php应用漏洞被利用风险。
如果您的PHP应用程序存在已知漏洞但尚未完成修复,可通过配置层面和运行时防护手段降低被利用的可能性。以下是几种可立即实施的临时防护措施:
一、禁用危险的PHP函数
通过限制执行高风险函数,可大幅削弱攻击者在成功注入后进一步提权或读取敏感文件的能力。该方法不依赖代码修改,仅需调整PHP配置即可生效。
1、打开php.ini文件,定位到disable_functions指令行。
2、在该指令后追加以下函数名,各函数间用英文逗号分隔:eval, exec, system, shell_exec, passthru, popen, proc_open, pcntl_exec。
立即学习“PHP免费学习笔记(深入)”;
3、保存文件并重启Web服务器(如Apache或Nginx)使配置生效。
二、启用open_basedir限制
该设置强制PHP脚本只能访问指定目录及其子目录内的文件,即使攻击者通过文件包含类漏洞(如include、require)构造路径遍历,也无法跳出限定范围读取系统配置或源码。
1、在php.ini中添加或修改open_basedir参数,例如:open_basedir = "/var/www/html:/tmp"。
2、若使用虚拟主机,可在Apache的VirtualHost块中添加php_admin_value open_basedir,或在Nginx的fastcgi_param中设置PHP_ADMIN_VALUE "open_basedir=/var/www/html:/tmp"。
3、确保所设路径包含Web根目录及应用必需的临时目录(如session、upload临时路径),否则可能导致功能异常。
三、关闭错误信息对外显示
暴露详细错误信息(如文件路径、函数调用栈、数据库结构)会为攻击者提供关键线索,辅助其构造更精准的利用载荷。隐藏错误可增加攻击门槛。
1、在php.ini中将display_errors设为Off。
2、将error_reporting设为E_ALL & ~E_NOTICE & ~E_DEPRECATED & ~E_STRICT以保留日志记录但屏蔽非关键提示。
3、确认log_errors为On,并检查error_log指向可写且受控的日志文件路径,例如:error_log = /var/log/php_errors.log。
四、部署Web应用防火墙(WAF)规则
在请求到达PHP解释器前,通过WAF识别并拦截常见漏洞利用特征(如SQL注入关键字、PHP代码注入模式、路径遍历序列),实现运行时主动防御。
1、若使用ModSecurity,添加如下SecRule规则至配置中:SecRule ARGS|ARGS_NAMES|REQUEST_HEADERS|REQUEST_COOKIES|REQUEST_COOKIES_NAMES "@rx (?:\b(?:eval|assert|system|exec|shell_exec)\s*\(|\.\./|\%00|。
2、若使用Nginx配合ngx_http_modsecurity_module,确保modsecurity.conf中SecRuleEngine On已启用,并加载上述自定义规则。
3、测试规则有效性:向目标URL提交含或../../../etc/passwd的请求,验证返回状态码是否为403且无响应体泄露。
五、限制PHP脚本执行权限
通过操作系统级权限控制,使PHP进程无法写入Web可访问目录或执行任意二进制文件,即便漏洞被触发,也难以持久化或横向移动。
1、将Web服务器运行用户(如www-data、nginx)从www-data组中移除,或创建专用低权限用户(如php-runner)并配置PHP-FPM池使用该用户。
2、对Web根目录执行chmod -R 755 /var/www/html,并对所有.php文件单独执行chmod 644 *.php,确保无写权限。
3、对上传目录(如/var/www/html/uploads)设置noexec,nosuid,nodev挂载选项,或通过mount -o remount,noexec /var/www限制整个分区执行权限。
