Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 19/9/2013
Et sikkerhedsfirma anbefaler, at web-applikationer skal blokere for såkaldte SuperGlobals i forespørgsler til webserveren. SuperGlobals indgår i PHP-sproget.SuperGlobals er ni variabler, der kan bruges alle steder i PHP de er både lokale og globale variabler.
Sikkerhedsforskere fra firmaet Imperva har analyseret et par sårbarheder, der udnytter SuperGlobals. Risikoen ved dem er, at en angriber kan overskrive deres værdier og dermed indsætte sine egne data i en PHP-applikation.
Imperva konkluderer, at SuperGlobals udgør en voksende risiko inden for web-applikationer. De ser stadig flere angreb, der udnytter dem.
Risikoen kommer ofte fra tredjepartsapplikationer skrevet i PHP som for eksempel administrationsværktøjer.
Anbefaling
Sikkerhedsansvarlige for PHP-projekter bør læse forskernes rapport.