Ann an crĂŹochan a 'phròiseict modal airson ceangal ris an eadar-theangair PHP7, air a dhealbhadh gus tèarainteachd na h-Ă rainneachd adhartachadh agus casg a chuir air mearachdan cumanta a dhâ adhbhraicheas so-leòntachd ann a bhith a âruith thagraidhean PHP. Leigidh am modal leat cuideachd pĂŹosan brĂŹgheil a chruthachadh gus duilgheadasan sònraichte a chĂ radh gun a bhith ag atharrachadh còd stòr an tagraidh so-leònte, a tha goireasach airson a chleachdadh ann an siostaman aoigheachd mòr far a bheil e do-dhèanta a h-uile tagradh cleachdaiche a chumail Ăšraichte. Tha am modal sgrĂŹobhte ann an C, ceangailte ann an cruth leabharlann co-roinnte (â leudachadh = snuffleupagus.so âann am php.ini) agus le cead fo LGPL 3.0.
Tha Snuffleupagus aâ toirt seachad siostam riaghailtean a leigeas leat teamplaidean Ă bhaisteach a chleachdadh gus tèarainteachd a leasachadh, no na riaghailtean agad fhèin a chruthachadh gus smachd a chumail air dĂ ta cuir a-steach agus paramadairean gnĂŹomh. Mar eisimpleir, an riaghailt âsp.disable_function.function (âsystemâ).param(âcommandâ).value_r(â[$|;&`\\n]â).drop();â aâ leigeil leat cleachdadh charactaran sònraichte a chuingealachadh ann an argamaidean gnĂŹomh system() gun a bhith ag atharrachadh an tagraidh. San aon dòigh, faodaidh tu a chruthachadh gus casg a chuir air so-leòntachd aithnichte.
A âbreithneachadh leis na deuchainnean a rinn an luchd-leasachaidh, cha mhòr gu bheil Snuffleupagus aâ lughdachadh coileanadh. Gus dèanamh cinnteach Ă tèarainteachd fhèin (faodaidh so-leòntachd a dhâ fhaodadh a bhith anns an ĂŹre tèarainteachd a bhith na vectar a bharrachd airson ionnsaighean), bidh am pròiseact aâ cleachdadh deuchainn mhionaideach air gach gealltanas ann an diofar sgaoilidhean, aâ cleachdadh siostaman sgrĂšdaidh statach, agus tha còd air a chruth agus air a chlĂ radh gus sgrĂšdadh a dhèanamh nas sĂŹmplidhe.
Tha dòighean stèidhichte air an toirt seachad gus casg a chuir air clasaichean so-leòntachd leithid cĂšisean, le sreathachadh dĂ ta, cleachdadh aâ ghnĂŹomh PHP mail() , aâ leigeil a-mach susbaint Cookie ri linn ionnsaighean XSS, duilgheadasan ri linn luchdachadh fhaidhlichean le còd so-ghnĂŹomhaichte (mar eisimpleir, san fhòrmat ), gineadh Ă ireamh air thuaiream de dhroch chĂ ileachd agus togail XML ceĂ rr.
Tha na modhan a leanas aâ faighinn taic gus tèarainteachd PHP Ă rdachadh:
- Dèan comas gu fèin-ghluasadach air brataichean âtèarainteâ agus âaon lĂ rachâ (dĂŹon CSRF) airson briosgaidean, Briosgaidean;
- Seata de riaghailtean togte gus lorgan ionnsaighean agus co-rèiteachadh thagraidhean a chomharrachadh;
- GnÏomhachadh cruinneil èiginneach den "" (mar eisimpleir, a' bacadh oidhirp air sreang a shònrachadh nuair a thathar a' sÚileachadh luach iomlan mar argamaid) agus dÏon an aghaidh ;
- A 'bacadh gu bunaiteach (mar eisimpleir, casg air "phar: //") leis an liosta geal soilleir aca;
- Toirmeasg air cur an gnĂŹomh faidhlichean a ghabhas sgrĂŹobhadh;
- Liostaichean dubh is geal airson eval;
- Tha feum air gus dearbhadh teisteanais TLS a chomasachadh nuair a thathar aâ cleachdadh
curl; - Aâ cur HMAC ri nithean sreathach gus dèanamh cinnteach gun lorgar dĂŹ-shreathachadh an dĂ ta a chaidh a stòradh leis an tagradh tĂšsail;
- Modh logaidh iarrtas;
- Aâ bacadh luchdachadh fhaidhlichean a-muigh ann an libxml tro cheanglaichean ann an sgrĂŹobhainnean XML;
- Comas luchd-lĂ imhseachaidh taobh a-muigh a cheangal (upload_validation) gus faidhlichean a chaidh a luchdachadh suas a sgrĂšdadh agus a sganadh;
Chaidh am pròiseact a chruthachadh agus a chleachdadh gus luchd-cleachdaidh a dhĂŹon ann am bun-structar aon de na companaidhean aoigheachd mòra Frangach. , gum biodh dĂŹreach Snuffleupagus a chomasachadh aâ dĂŹon an aghaidh mòran de na so-leòntachdan cunnartach a chaidh a lorg am-bliadhna ann an Drupal, WordPress agus phpBB. So-leòntachd ann an Magento agus dhâfhaodadh Horde a bhith air a bhacadh le bhith aâ tionndadh air aâ mhodh
"sp.readonly_exec.enable()".
Source: fosgailtenet.ru
