Às deidh bliadhna de leasachadh foillseachadh pròiseict , a bheir seachad modal airson eadar-theangair PHP7 gus tèarainteachd na h-àrainneachd a leasachadh agus gus mearachdan cumanta a bhacadh a dh’ adhbhraicheas so-leòntachd ann a bhith a’ ruith thagraidhean PHP. Leigidh am modal leat a chruthachadh cuideachd gus cuir às do dhuilgheadasan sònraichte gun a bhith ag atharrachadh còd stòr an tagraidh so-leònte, a tha goireasach airson a chleachdadh ann an siostaman aoigheachd mòr far nach eil e comasach a h-uile tagradh cleachdaiche a chumail ùraichte. Thathas a’ meas gur e glè bheag de chosgaisean os-cionn a’ mhodal. Tha am modal sgrìobhte ann an C, ceangailte ann an cruth leabharlann co-roinnte (“ leudachadh = snuffleupagus.so ”ann am php.ini) agus le cead fo LGPL 3.0.
Tha Snuffleupagus a’ toirt seachad siostam riaghailtean a leigeas leat teamplaidean àbhaisteach a chleachdadh gus tèarainteachd a leasachadh, no na riaghailtean agad fhèin a chruthachadh gus smachd a chumail air dàta cuir a-steach agus paramadairean gnìomh. Mar eisimpleir, an riaghailt “sp.disable_function.function (“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” a’ leigeil leat cleachdadh charactaran sònraichte a chuingealachadh ann an argamaidean gnìomh system() gun a bhith ag atharrachadh an tagraidh. Tha dòighean aonaichte air an toirt seachad gus casg a chuir air clasaichean so-leòntachd leithid cùisean, le sreathachadh dàta, cleachdadh a’ ghnìomh PHP mail() , a’ leigeil a-mach susbaint Cookie ri linn ionnsaighean XSS, duilgheadasan ri linn luchdachadh fhaidhlichean le còd so-ghnìomhaichte (mar eisimpleir, san fhòrmat ), gineadh àireamh air thuaiream de dhroch chàileachd agus togail XML ceàrr.
Modhan àrdachadh tèarainteachd PHP air an toirt seachad le Snuffleupagus:
- Dèan comas gu fèin-ghluasadach air brataichean “tèarainte” agus “aon làrach” (dìon CSRF) airson briosgaidean, Briosgaidean;
- Seata de riaghailtean togte gus lorgan ionnsaighean agus co-rèiteachadh thagraidhean a chomharrachadh;
- Gnìomhachadh cruinneil èiginneach den "" (mar eisimpleir, a' bacadh oidhirp air sreang a shònrachadh nuair a thathar a' sùileachadh luach iomlan mar argamaid) agus dìon an aghaidh ;
- A 'bacadh gu bunaiteach (mar eisimpleir, casg air "phar: //") leis an liosta geal soilleir aca;
- Toirmeasg air cur an gnìomh faidhlichean a ghabhas sgrìobhadh;
- Liostaichean dubh is geal airson eval;
- Tha feum air gus dearbhadh teisteanais TLS a chomasachadh nuair a thathar a’ cleachdadh
curl; - A’ cur HMAC ri nithean sreathach gus dèanamh cinnteach gun lorgar dì-shreathachadh an dàta a chaidh a stòradh leis an tagradh tùsail;
- Modh logaidh iarrtas;
- A’ bacadh luchdachadh fhaidhlichean a-muigh ann an libxml tro cheanglaichean ann an sgrìobhainnean XML;
- Comas luchd-làimhseachaidh taobh a-muigh a cheangal (upload_validation) gus faidhlichean a chaidh a luchdachadh suas a sgrùdadh agus a sganadh;
Am measg nan anns an fhoillseachadh ùr: Taic nas fheàrr airson PHP 7.4 agus co-chòrdalachd le meur PHP 8 a tha ga leasachadh an-dràsta air a chuir ris. Chaidh an t-seata riaghailtean bunaiteach ùrachadh gus a bhith a’ toirt a-steach riaghailtean ùra airson so-leòntachd a chaidh a chomharrachadh o chionn ghoirid agus dòighean ionnsaigh an aghaidh thagraidhean lìn. Taic nas fheàrr airson macOS agus cleachdadh nas motha den àrd-ùrlar amalachaidh leantainneach stèidhichte air GitLab.
Source: fosgailtenet.ru