ProHoster > Blag > nuacht idirlín > Tá an tionscadal Snuffleupagus ag forbairt modúl PHP chun leochaileachtaí a bhlocáil
Tá an tionscadal Snuffleupagus ag forbairt modúl PHP chun leochaileachtaí a bhlocáil
I dteorainneacha an tionscadail snuffleupagusag forbairt modúl chun nascadh leis an ateangaire PHP7, atá deartha chun feabhas a chur ar shlándáil an chomhshaoil agus blocáil earráidí coitianta as a dtagann leochaileachtaí i bhfeidhmchláir PHP a rith. Ceadaíonn an modúl duit freisin paistí fíorúla a chruthú chun fadhbanna sonracha a shocrú gan cód foinse an fheidhmchláir leochaileacha a athrú, atá áisiúil le húsáid i gcórais óstála mais áit nach féidir gach feidhmchlár úsáideora a choinneáil cothrom le dáta. Tá an modúl scríofa i C, tá sé ceangailte i bhfoirm leabharlainne roinnte (“extension=snuffleupagus.so” i php.ini) agus dáilte ag ceadúnaithe faoi LGPL 3.0.
Soláthraíonn Snuffleupagus córas rialacha a ligeann duit teimpléid chaighdeánacha a úsáid chun slándáil a fheabhsú, nó do rialacha féin a chruthú chun sonraí ionchuir agus paraiméadair feidhme a rialú. Mar shampla, an riail “sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” ligeann sé duit teorainn a chur le húsáid carachtar speisialta in argóintí feidhm an chórais () gan an feidhmchlár a athrú. Mar an gcéanna, is féidir leat a chruthú paistí fíorúil chun bac a chur ar leochaileachtaí aitheanta.
Ag breithiúnas leis na tástálacha a rinne na forbróirí, is ar éigean a laghdaíonn Snuffleupagus feidhmíocht. Chun a shlándáil féin a chinntiú (is féidir le leochaileachtaí féideartha sa chiseal slándála feidhmiú mar veicteoir breise le haghaidh ionsaithe), úsáideann an tionscadal tástáil críochnúil ar gach tiomantas i dáiltí éagsúla, úsáideann córais anailíse statacha, agus déantar cód a fhormáidiú agus a dhoiciméadú chun iniúchadh a shimpliú.
Cuirtear modhanna insuite ar fáil chun aicmí leochaileachtaí a bhlocáil amhail saincheisteanna, gaolmhar le sraithiú sonraí, neamhshábháilte feidhm PHP mail() a úsáid, ábhar Fianán a sceitheadh le linn ionsaithe XSS, fadhbanna mar gheall ar chomhaid a luchtú le cód inrite (mar shampla, san fhormáid phar), giniúint uimhreacha randamacha ar dhroch-chaighdeán agus ionadú Tógálacha XML mícheart.
Tacaítear leis na modhanna seo a leanas chun slándáil PHP a fheabhsú:
Cumasaigh go huathoibríoch bratacha "slán" agus "céanna" (cosaint CSRF) le haghaidh Fianáin, criptiú Fianán;
Sraith rialacha ionsuite chun rianta ionsaithe agus comhréiteach feidhmchlár a shainaithint;
Gníomhachtú domhanda éigeantach an "dian" (mar shampla, bacann sé iarracht teaghrán a shonrú agus tú ag súil le luach slánuimhir mar argóint) agus cosaint in aghaidh ionramháil cineál;
Blocáil réamhshocraithe cumhdaigh prótacail (mar shampla, "phar://" a thoirmeasc lena bánliosta sainráite;
Toirmeasc ar chomhaid inscríofa a fhorghníomhú;
Liostaí dubh agus bán le haghaidh eval;
Ag teastáil chun seiceáil teastais TLS a chumasú agus é á úsáid
curl ;
HMAC a chur le réada sraitheacha chun a chinntiú go n-aisghabhann díshraithiú na sonraí arna stóráil ag an mbunfheidhmchlár;
Modh logála ceiste;
Luchtú comhaid sheachtracha i libxml a bhlocáil trí naisc i ndoiciméid XML;
Cumas láimhseálaithe seachtracha a nascadh (upload_validation) chun comhaid uaslódáilte a sheiceáil agus a scanadh;
Cruthaíodh agus úsáideadh an tionscadal chun úsáideoirí a chosaint i mbonneagar ceann de na hoibreoirí óstála móra sa Fhrainc. Tugtar faoi dearago gcosnódh nascadh Snuffleupagus go leor de na leochaileachtaí contúirteacha a aithníodh i mbliana i Drupal, WordPress agus phpBB. D'fhéadfaí bac a chur ar leochaileachtaí i Magento agus Horde tríd an mód a chumasú
"sp.readonly_exec.enable()".