I dteorainneacha an tionscadail modúl chun nascadh leis an ateangaire PHP7, atá deartha chun feabhas a chur ar shlándáil an chomhshaoil agus blocáil earráidí coitianta as a dtagann leochaileachtaí i bhfeidhmchláir PHP a rith. Ceadaíonn an modúl duit freisin paistí fíorúla a chruthú chun fadhbanna sonracha a shocrú gan cód foinse an fheidhmchláir leochaileacha a athrú, atá áisiúil le húsáid i gcórais óstála mais áit nach féidir gach feidhmchlár úsáideora a choinneáil cothrom le dáta. Tá an modúl scríofa i C, tá sé ceangailte i bhfoirm leabharlainne roinnte (“extension=snuffleupagus.so” i php.ini) agus ceadúnaithe faoi LGPL 3.0.
Soláthraíonn Snuffleupagus córas rialacha a ligeann duit teimpléid chaighdeánacha a úsáid chun slándáil a fheabhsú, nó do rialacha féin a chruthú chun sonraí ionchuir agus paraiméadair feidhme a rialú. Mar shampla, an riail “sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” ligeann sé duit teorainn a chur le húsáid carachtar speisialta in argóintí feidhm an chórais () gan an feidhmchlár a athrú. Mar an gcéanna, is féidir leat a chruthú chun bac a chur ar leochaileachtaí aitheanta.
Ag breithiúnas leis na tástálacha a rinne na forbróirí, is ar éigean a laghdaíonn Snuffleupagus feidhmíocht. Chun a shlándáil féin a chinntiú (is féidir le leochaileachtaí féideartha sa chiseal slándála feidhmiú mar veicteoir breise le haghaidh ionsaithe), úsáideann an tionscadal tástáil críochnúil ar gach tiomantas i dáiltí éagsúla, úsáideann córais anailíse statacha, agus déantar cód a fhormáidiú agus a dhoiciméadú chun iniúchadh a shimpliú.
Cuirtear modhanna insuite ar fáil chun aicmí leochaileachtaí a bhlocáil amhail saincheisteanna, le sraithiú sonraí, feidhm PHP mail() a úsáid, ábhar Fianán a sceitheadh le linn ionsaithe XSS, fadhbanna mar gheall ar chomhaid a luchtú le cód inrite (mar shampla, san fhormáid ), giniúint uimhreacha randamacha ar dhroch-chaighdeán agus Tógálacha XML mícheart.
Tacaítear leis na modhanna seo a leanas chun slándáil PHP a fheabhsú:
- Cumasaigh go huathoibríoch bratacha "slán" agus "céanna" (cosaint CSRF) le haghaidh Fianáin, Fianán;
- Sraith rialacha ionsuite chun rianta ionsaithe agus comhréiteach feidhmchlár a shainaithint;
- Gníomhachtú domhanda éigeantach an "" (mar shampla, bacann sé iarracht teaghrán a shonrú agus tú ag súil le luach slánuimhir mar argóint) agus cosaint in aghaidh ;
- Blocáil réamhshocraithe (mar shampla, "phar://" a thoirmeasc lena bánliosta sainráite;
- Toirmeasc ar chomhaid inscríofa a fhorghníomhú;
- Liostaí dubh agus bán le haghaidh eval;
- Ag teastáil chun seiceáil teastais TLS a chumasú agus é á úsáid
curl ; - HMAC a chur le réada sraitheacha chun a chinntiú go n-aisghabhann díshraithiú na sonraí arna stóráil ag an mbunfheidhmchlár;
- Modh logála ceiste;
- Luchtú comhaid sheachtracha i libxml a bhlocáil trí naisc i ndoiciméid XML;
- Cumas láimhseálaithe seachtracha a nascadh (upload_validation) chun comhaid uaslódáilte a sheiceáil agus a scanadh;
Cruthaíodh agus úsáideadh an tionscadal chun úsáideoirí a chosaint i mbonneagar ceann de na hoibreoirí óstála móra sa Fhrainc. go gcosnódh nascadh Snuffleupagus go leor de na leochaileachtaí contúirteacha a aithníodh i mbliana i Drupal, WordPress agus phpBB. D'fhéadfaí bac a chur ar leochaileachtaí i Magento agus Horde tríd an mód a chumasú
"sp.readonly_exec.enable()".
Foinse: oscailtenet.ru