Комментарии 5
Это тоже сгенерировано ruGPT-3 ?
Ссылку и время дайте хоть. Из интро видно, что проблемы у вас ну очень специфичные. Кровавые будни интегратора какого-то легаси-шлака, неизвестно как написанного да ещё и без исходников. На месте финтех-конторы, я бы вместо того, чтобы какие-то контракты заключать с производителем таких решений, слал бы этого производителя лесом и побыстрее.
Джентельменский набор классического PHP пятой версии… Zend Encoder.
Не завидую вам… Безопасность фиксится сейчас в версиях 7.3+, так что тут не 0-day жди, а набор сплоитов готовых. Пятую, если что, перестали поддерживать ещё в январе 2019. Так что сам факт что безопасник допустил использование в проде версии с известными CVE и сплоитами и не инициировал миграцию на современные версии вовремя — это ой.
Про Zend Encoder вообще жуть. Без исходников у себя разворачивать что-то — это ужас. Наверняка там проблемы посерьёзней чем старый PHP… Если такие решения на тему версий интерпретатора и бездумное использование Encoder, найдётся и сборка SQL конкатенацией строк и банальный XSS. Что поставщик "поддерживает" продукт — смешно просто. Он что, PHP 5 патчит?
Чтобы базу у вас за 5 минут не слили — выставите таймауты на запрос и закройте к базе доступ извне. Плюс лимитируйте память и время выполнения у интерпретатора PHP. Так убьёте большинство сценариев на тему слития базы.
Был в Siemens. Ушёл когда понял что можно делать очень большие проекты не доводя до такого. При этом сильно быстрее и без такого количества сотрудников и бюрократии...
Так вставляйте после каждого слова "в кровавом энтерпрайзе, где ответственный за безопасность решения по безопасности принимать не может и под страхом расстрела вынужден выпускать в продакшен дырявое легаси, даже без белого списка скриптов, разрешенных к выполнению с веба, и сваливать все проблемы на кривой язык".
Приглашаю все на вебинар по вопросам безопасности PHP