Sunday, July 28, 2013
@^!v
SUHOSIN
A. Apa itu Suhosin
Suhosin adalah sistem perlindungan canggih untuk instalasi PHP. Ini dirancang untuk melindungi server dan pengguna dari kelemahan dikenal dan tidak dikenal dalam aplikasi PHP dan inti PHP. Suhosin terdiri atas dua bagian independen, yang dapat digunakan secara terpisah atau dalam kombinasi. Pertama adalah Suhosin-patch (tidak full protection) terhadap inti PHP, yang mengimplementasikan beberapa tingkat rendah perlindungan terhadap bufferoverflows atau format string kerentanan dan yang kedua adalah Suhosin-extension (full protection) yang mengimplementasikan semua perlindungan yang kuat terhadap php.
Berbeda dengan PHP Hardening-patch, Suhosin adalah biner kompatibel untuk instalasi PHP normal, yang artinya adalah kompatibel dengan pihak ke-3 ekstensi biner seperti ZendOptimizer.
B. Kapan Kita harus menggunakan Suhosin
Pertanyaan yang paling penting bagi pengguna baru Suhosin adalah, mengapa mereka harus menggunakan suhosin, jika benar-benar diperlukan dan apa keuntungannya dengan menggunakan patch,, extension atau kombinasi keduanya.
Jawaban atas pertanyaan ini tergantung pada apa penggunaan PHP Kita. Jika Kita menggunakan PHP hanya untuk server sendiri dan hanya untuk script dan aplikasi Kita sendiri dan Kita yakin kode Kita cukup. Dalam hal ini Kita kemungkinan besar tidak perlu ekstensi Suhosin. Karena sebagian besar dari fitur suhosin dimaksudkan untuk melindungi server terhadap teknik pemrograman rentan. Namun jika tidak, maka kita sangat membutuhkan Suhosin demi keamanan situs kita, karena sebagian besar fitur Suhosin itu dimaksudkan untuk melindungi server terhadap teknik pemrograman rentan. Perlu diingat, PHP adalah bahasa pemrograman yang sangat kompleks dengan banyak jebakan yang sering terlupakan selama pengembangan aplikasi. Bahkan programmer PHP yang sudah pakar sekalipun dari waktu ke waktu sering kelupaan menulis kode yang tidak aman, karena mereka tidak tahu tentang perangkap PHP. Oleh karena itu kita bisa mengandalkan suhosin sebagai jaring pengaman.
Suhosin dilengkapi dengan fitur Perlindungan Zend Engine yang melindungi server kita dari bufferoverflows yang mungkin terjadi dan kerentanan terkait dalam Zend Engine. Sejarah telah menunjukkan bahwa beberapa bug ini selalu ada di versi PHP sebelumnya.
Jika Kita tidak hanya menjalankan skrip PHP Kita sendiri tetapi juga dihostingkan ke aplikasi PHP pihak ke-3 untuk diri sendiri atau bahkan pihak lain, maka Kita tidak mempercayai kualitas kode dari aplikasi PHP yang Kita gunakan itu. Sayangnya itu adalah kenyataan bahwa perangkap dari bahasa PHP tidak banyak diketahui di kalangan programmer. Banyak perangkap ini tidak didokumentasikan dalam buku-buku PHP-Security yang telah dirilis selama setahun terakhir. Hal ini terutama disebabkan, bahwa buku-buku yang ditulis terburu-buru untuk menjadi yang pertama di pasar dan karena sebagian besar buku-buku ini tidak ditulis oleh para profesional keamanan, tetapi oleh programmer PHP.
C. Proteksi yang dapat dilakukan Suhosin
- Cookie enkripsi
- Session ekripsi
- Mencegah session hijack
- Bisa memfilter inputan dari form hanya ASCII saja
- Dapat membatasi jumlah variabel (post, get) yang terima system
- Dapat membatasi jumlah upload dalam sekali request
- Dan masih banyak lagi yang bisa di proteksi Suhosin. Baca selengkapnya http://www.hardened-php.net/suhosin/a_feature_list.html
Isi konfigurasi default dari file Suhosin
[suhosin]
; Logging Configuration
suhosin.log.syslog.facility = 9
suhosin.log.use-x-forwarded-for = Off
; Filtering Options
suhosin.request.max_vars = 500
suhosin.post.max_vars = 500
suhosin.get.max_vars = 500
suhosin.cookie.max_vars = 500
suhosin.request.max_array_index_length = 500
suhosin.post.max_array_index_length = 500
suhosin.get.max_array_index_length = 500
suhosin.cookie.max_array_index_length = 500
suhosin.request.max_array_depth = 1000
suhosin.post.max_array_depth = 1000
suhosin.get.max_array_depth = 1000
suhosin.cookie.max_array_depth = 1000
suhosin.get.max_value_length = 200000
suhosin.post.max_value_length = 200000
suhosin.request.max_value_length = 200000
suhosin.cookie.max_value_length = 200000
suhosin.upload.max_uploads = 300
suhosin.upload.disallow_elf = Off
suhosin.session.max_id_length = 1024
;spam protection on forms
;suhosin.mail.protect = 1
; Executor Options
suhosin.memory_limit = 75
suhosin.executor.max_depth = 0
suhosin.executor.include.max_traversal = 6
suhosin.executor.disable_emodifier = Off
suhosin.executor.allow_symlink = Off
suhosin.executor.include.blacklist = "http://void.ru"
suhosin.upload.verification_script = /usr/local/upload_guardian/scanit.pl
; Logging Configuration
suhosin.log.syslog.facility = 9
suhosin.log.use-x-forwarded-for = Off
; Filtering Options
suhosin.request.max_vars = 500
suhosin.post.max_vars = 500
suhosin.get.max_vars = 500
suhosin.cookie.max_vars = 500
suhosin.request.max_array_index_length = 500
suhosin.post.max_array_index_length = 500
suhosin.get.max_array_index_length = 500
suhosin.cookie.max_array_index_length = 500
suhosin.request.max_array_depth = 1000
suhosin.post.max_array_depth = 1000
suhosin.get.max_array_depth = 1000
suhosin.cookie.max_array_depth = 1000
suhosin.get.max_value_length = 200000
suhosin.post.max_value_length = 200000
suhosin.request.max_value_length = 200000
suhosin.cookie.max_value_length = 200000
suhosin.upload.max_uploads = 300
suhosin.upload.disallow_elf = Off
suhosin.session.max_id_length = 1024
;spam protection on forms
;suhosin.mail.protect = 1
; Executor Options
suhosin.memory_limit = 75
suhosin.executor.max_depth = 0
suhosin.executor.include.max_traversal = 6
suhosin.executor.disable_emodifier = Off
suhosin.executor.allow_symlink = Off
suhosin.executor.include.blacklist = "http://void.ru"
suhosin.upload.verification_script = /usr/local/upload_guardian/scanit.pl
Untuk download Suhosin kunjungi link http://www.hardened-php.net/suhosin/download.html
Lebih lengkap ada di http://www.hardened-php.net/suhosin/index.html
