Вы хоть раз писал на PHP? Я - да!
А хоть раз задумывались о безопасности? Я тоже!
Давайте обсудим вместе на вебинаре, посвященном проблеме безопасности PHP!
Senior Cyber Security Consultant DevSecOps
Вы хоть раз писал на PHP? Я - да!
А хоть раз задумывались о безопасности? Я тоже!
Давайте обсудим вместе на вебинаре, посвященном проблеме безопасности PHP!
Не спешите прокручивать мой пост - дело совсем не в коде, не в пороге вхождения, фреймворках или отсутствия обратной совместимости.
Я отношусь к PHP с той стороны, которая занята его размещением и безопасностью. Конечно, сейчас никаких трудов не составит запихнуть код с интерпретатором в контейнер, но вот безопасность...
Смотрите - каждый раз, когда вы обращаетесь к своему коду через веб-интерфейс, вы запускаете интерпретатор, который считывает все файлы и формирует ответ. В том числе и файл, где вы так заботливо указали доступы к своей базе данных. И не спешите шифровать его - ведь ключ для расшифровки вам тоже надо где-то брать, верно?
Я просто уже вижу, как воспользовавшись одной из уязвимостей старых версий, злой хаккер ломает ваше приложение на древнем PHP5. Ведь его уже никто не поддерживает, а перейти на новую версию вам мешает отсутствие обратной совместимости.
И вот злой хаккер стягивает файл с доступами базы, радостно читает и ухмыляясь, запускает на выполнени запрос, который вытягивает ваш дам с базы и покорно отдает его злодею на растерзание.
И не беда, если у вам там обычный блог или сайт-визитка. А если интернет-магазин? А если финансовое приложение?
Только не говорите, что в финтеке нет PHP. Есть. Я лично видел.
GET someurl/?t1555ss5326=5326
, где someurl — найденный ботом php скрипт. if ($is_args = "?") {
return 403 444;
}
load average: 1.50, 3.09, 6.96