Snuffleupagus ಯೋಜನೆಯು ದುರ್ಬಲತೆಗಳನ್ನು ತಡೆಯಲು PHP ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸುತ್ತಿದೆ

ಯೋಜನೆಯ ಗಡಿಗಳಲ್ಲಿ ಸ್ನಫ್ಲೂಪಾಗಸ್ ಅಭಿವೃದ್ಧಿ ಹೊಂದುತ್ತಿದೆ PHP7 ಇಂಟರ್ಪ್ರಿಟರ್‌ಗೆ ಸಂಪರ್ಕಿಸಲು ಮಾಡ್ಯೂಲ್, ಪರಿಸರದ ಸುರಕ್ಷತೆಯನ್ನು ಸುಧಾರಿಸಲು ಮತ್ತು PHP ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಚಲಾಯಿಸುವಲ್ಲಿ ದುರ್ಬಲತೆಗಳಿಗೆ ಕಾರಣವಾಗುವ ಸಾಮಾನ್ಯ ದೋಷಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ. ದುರ್ಬಲ ಅಪ್ಲಿಕೇಶನ್‌ನ ಮೂಲ ಕೋಡ್ ಅನ್ನು ಬದಲಾಯಿಸದೆ ನಿರ್ದಿಷ್ಟ ಸಮಸ್ಯೆಗಳನ್ನು ಸರಿಪಡಿಸಲು ವರ್ಚುವಲ್ ಪ್ಯಾಚ್‌ಗಳನ್ನು ರಚಿಸಲು ಮಾಡ್ಯೂಲ್ ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ, ಇದು ಎಲ್ಲಾ ಬಳಕೆದಾರ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ನವೀಕೃತವಾಗಿ ಇರಿಸಲು ಅಸಾಧ್ಯವಾದ ಸಾಮೂಹಿಕ ಹೋಸ್ಟಿಂಗ್ ಸಿಸ್ಟಮ್‌ಗಳಲ್ಲಿ ಬಳಸಲು ಅನುಕೂಲಕರವಾಗಿದೆ. ಮಾಡ್ಯೂಲ್ ಅನ್ನು C ನಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ, ಹಂಚಿದ ಲೈಬ್ರರಿಯ ರೂಪದಲ್ಲಿ ಸಂಪರ್ಕಿಸಲಾಗಿದೆ ("extension=snuffleupagus.so" php.ini ನಲ್ಲಿ) ಮತ್ತು ವಿತರಿಸುವವರು LGPL 3.0 ಅಡಿಯಲ್ಲಿ ಪರವಾನಗಿ ಪಡೆದಿದೆ.

Snuffleupagus ಸುರಕ್ಷತೆಯನ್ನು ಸುಧಾರಿಸಲು ಪ್ರಮಾಣಿತ ಟೆಂಪ್ಲೇಟ್‌ಗಳನ್ನು ಬಳಸಲು ಅಥವಾ ಇನ್‌ಪುಟ್ ಡೇಟಾ ಮತ್ತು ಕಾರ್ಯದ ನಿಯತಾಂಕಗಳನ್ನು ನಿಯಂತ್ರಿಸಲು ನಿಮ್ಮ ಸ್ವಂತ ನಿಯಮಗಳನ್ನು ರಚಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುವ ನಿಯಮಗಳ ವ್ಯವಸ್ಥೆಯನ್ನು ಒದಗಿಸುತ್ತದೆ. ಉದಾಹರಣೆಗೆ, ನಿಯಮ “sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಬದಲಾಯಿಸದೆಯೇ ಸಿಸ್ಟಮ್() ಫಂಕ್ಷನ್ ಆರ್ಗ್ಯುಮೆಂಟ್‌ಗಳಲ್ಲಿ ವಿಶೇಷ ಅಕ್ಷರಗಳ ಬಳಕೆಯನ್ನು ಮಿತಿಗೊಳಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಅಂತೆಯೇ, ನೀವು ರಚಿಸಬಹುದು ವರ್ಚುವಲ್ ಪ್ಯಾಚ್‌ಗಳು ತಿಳಿದಿರುವ ದುರ್ಬಲತೆಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲು.

ಅಭಿವರ್ಧಕರು ನಡೆಸಿದ ಪರೀಕ್ಷೆಗಳ ಮೂಲಕ ನಿರ್ಣಯಿಸುವುದು, Snuffleupagus ಅಷ್ಟೇನೂ ಕಾರ್ಯಕ್ಷಮತೆಯನ್ನು ಕಡಿಮೆ ಮಾಡುತ್ತದೆ. ತನ್ನದೇ ಆದ ಭದ್ರತೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು (ಸುರಕ್ಷತಾ ಪದರದಲ್ಲಿನ ಸಂಭವನೀಯ ದೋಷಗಳು ದಾಳಿಗಳಿಗೆ ಹೆಚ್ಚುವರಿ ವೆಕ್ಟರ್ ಆಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತವೆ), ಯೋಜನೆಯು ವಿಭಿನ್ನ ವಿತರಣೆಗಳಲ್ಲಿ ಪ್ರತಿ ಬದ್ಧತೆಯ ಸಂಪೂರ್ಣ ಪರೀಕ್ಷೆಯನ್ನು ಬಳಸುತ್ತದೆ, ಸ್ಥಿರ ವಿಶ್ಲೇಷಣಾ ವ್ಯವಸ್ಥೆಗಳನ್ನು ಬಳಸುತ್ತದೆ ಮತ್ತು ಆಡಿಟಿಂಗ್ ಅನ್ನು ಸರಳಗೊಳಿಸಲು ಕೋಡ್ ಅನ್ನು ಫಾರ್ಮ್ಯಾಟ್ ಮಾಡಲಾಗಿದೆ ಮತ್ತು ದಾಖಲಿಸಲಾಗಿದೆ.

ಸಮಸ್ಯೆಗಳಂತಹ ದುರ್ಬಲತೆಗಳ ವರ್ಗಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲು ಅಂತರ್ನಿರ್ಮಿತ ವಿಧಾನಗಳನ್ನು ಒದಗಿಸಲಾಗಿದೆ, ಸಂಬಂಧಿಸಿದ ಡೇಟಾ ಸರಣಿಯೊಂದಿಗೆ, ಅಸುರಕ್ಷಿತ PHP ಮೇಲ್() ಕಾರ್ಯದ ಬಳಕೆ, XSS ದಾಳಿಯ ಸಮಯದಲ್ಲಿ ಕುಕೀ ವಿಷಯಗಳ ಸೋರಿಕೆ, ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಕೋಡ್‌ನೊಂದಿಗೆ ಫೈಲ್‌ಗಳನ್ನು ಲೋಡ್ ಮಾಡುವುದರಿಂದ ಉಂಟಾಗುವ ತೊಂದರೆಗಳು (ಉದಾಹರಣೆಗೆ, ಸ್ವರೂಪದಲ್ಲಿ phar), ಕಳಪೆ ಗುಣಮಟ್ಟದ ಯಾದೃಚ್ಛಿಕ ಸಂಖ್ಯೆಯ ಉತ್ಪಾದನೆ ಮತ್ತು ಪರ್ಯಾಯ ತಪ್ಪಾದ XML ರಚನೆಗಳು.

PHP ಭದ್ರತೆಯನ್ನು ಹೆಚ್ಚಿಸಲು ಈ ಕೆಳಗಿನ ವಿಧಾನಗಳನ್ನು ಬೆಂಬಲಿಸಲಾಗುತ್ತದೆ:

• ಕುಕೀಗಳಿಗಾಗಿ ಸ್ವಯಂಚಾಲಿತವಾಗಿ "ಸುರಕ್ಷಿತ" ಮತ್ತು "ಸಮೇಸೈಟ್" (CSRF ರಕ್ಷಣೆ) ಫ್ಲ್ಯಾಗ್‌ಗಳನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿ, ಗೂ ry ಲಿಪೀಕರಣ ಕುಕಿ;
• ದಾಳಿಯ ಕುರುಹುಗಳನ್ನು ಗುರುತಿಸಲು ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ರಾಜಿ ಮಾಡಲು ಅಂತರ್ನಿರ್ಮಿತ ನಿಯಮಗಳ ಸೆಟ್;
• ಬಲವಂತದ ಜಾಗತಿಕ ಸಕ್ರಿಯಗೊಳಿಸುವಿಕೆ "ಕಟ್ಟುನಿಟ್ಟಾದ" (ಉದಾಹರಣೆಗೆ, ಒಂದು ಪೂರ್ಣಾಂಕ ಮೌಲ್ಯವನ್ನು ವಾದವಾಗಿ ನಿರೀಕ್ಷಿಸುವಾಗ ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುವ ಪ್ರಯತ್ನವನ್ನು ನಿರ್ಬಂಧಿಸುತ್ತದೆ) ಮತ್ತು ವಿರುದ್ಧ ರಕ್ಷಣೆ ರೀತಿಯ ಕುಶಲತೆ;
• ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ನಿರ್ಬಂಧಿಸಲಾಗುತ್ತಿದೆ ಪ್ರೋಟೋಕಾಲ್ ಹೊದಿಕೆಗಳು (ಉದಾಹರಣೆಗೆ, "phar://" ಅನ್ನು ನಿಷೇಧಿಸುವುದು) ಅವರ ಸ್ಪಷ್ಟ ಶ್ವೇತಪಟ್ಟಿಯೊಂದಿಗೆ;
• ಬರೆಯಬಹುದಾದ ಫೈಲ್‌ಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ನಿಷೇಧ;
• ಎವಾಲ್ಗಾಗಿ ಕಪ್ಪು ಮತ್ತು ಬಿಳಿ ಪಟ್ಟಿಗಳು;
• ಬಳಸುವಾಗ TLS ಪ್ರಮಾಣಪತ್ರ ಪರಿಶೀಲನೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುವ ಅಗತ್ಯವಿದೆ
  ಕರ್ಲ್;

• ಮೂಲ ಅಪ್ಲಿಕೇಶನ್‌ನಿಂದ ಸಂಗ್ರಹಿಸಲಾದ ಡೇಟಾವನ್ನು ಡೀರಿಯಲೈಸೇಶನ್ ಹಿಂಪಡೆಯುತ್ತದೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಧಾರಾವಾಹಿ ವಸ್ತುಗಳಿಗೆ HMAC ಅನ್ನು ಸೇರಿಸುವುದು;
• ಲಾಗಿಂಗ್ ಮೋಡ್ ಅನ್ನು ವಿನಂತಿಸಿ;
• XML ಡಾಕ್ಯುಮೆಂಟ್‌ಗಳಲ್ಲಿನ ಲಿಂಕ್‌ಗಳ ಮೂಲಕ libxml ನಲ್ಲಿ ಬಾಹ್ಯ ಫೈಲ್‌ಗಳನ್ನು ಲೋಡ್ ಮಾಡುವುದನ್ನು ನಿರ್ಬಂಧಿಸುವುದು;
• ಅಪ್‌ಲೋಡ್ ಮಾಡಿದ ಫೈಲ್‌ಗಳನ್ನು ಪರಿಶೀಲಿಸಲು ಮತ್ತು ಸ್ಕ್ಯಾನ್ ಮಾಡಲು ಬಾಹ್ಯ ಹ್ಯಾಂಡ್ಲರ್‌ಗಳನ್ನು (upload_validation) ಸಂಪರ್ಕಿಸುವ ಸಾಮರ್ಥ್ಯ;

ದೊಡ್ಡ ಫ್ರೆಂಚ್ ಹೋಸ್ಟಿಂಗ್ ಆಪರೇಟರ್‌ಗಳ ಮೂಲಸೌಕರ್ಯದಲ್ಲಿ ಬಳಕೆದಾರರನ್ನು ರಕ್ಷಿಸಲು ಯೋಜನೆಯನ್ನು ರಚಿಸಲಾಗಿದೆ ಮತ್ತು ಬಳಸಲಾಗಿದೆ. ಇದನ್ನು ಗಮನಿಸಲಾಗಿದೆSnuffleupagus ಅನ್ನು ಸರಳವಾಗಿ ಸಂಪರ್ಕಿಸುವುದರಿಂದ Drupal, WordPress ಮತ್ತು phpBB ಯಲ್ಲಿ ಈ ವರ್ಷ ಗುರುತಿಸಲಾದ ಅನೇಕ ಅಪಾಯಕಾರಿ ದುರ್ಬಲತೆಗಳಿಂದ ರಕ್ಷಿಸುತ್ತದೆ. ಮೋಡ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುವ ಮೂಲಕ Magento ಮತ್ತು ತಂಡದಲ್ಲಿನ ದೋಷಗಳನ್ನು ನಿರ್ಬಂಧಿಸಬಹುದು
"sp.readonly_exec.enable()".

ಮೂಲ: opennet.ru