ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > Snuffleupagus 0.5.1 ಬಿಡುಗಡೆ, PHP ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿನ ದುರ್ಬಲತೆಗಳನ್ನು ತಡೆಯುವ ಮಾಡ್ಯೂಲ್

Snuffleupagus 0.5.1 ಬಿಡುಗಡೆ, PHP ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿನ ದುರ್ಬಲತೆಗಳನ್ನು ತಡೆಯುವ ಮಾಡ್ಯೂಲ್

ಅಭಿವೃದ್ಧಿಯ ಒಂದು ವರ್ಷದ ನಂತರ ಪ್ರಕಟಿಸಲಾಗಿದೆ ಯೋಜನೆಯ ಬಿಡುಗಡೆ ಸ್ನಫಲ್ಪಾಗಸ್ 0.5.1, ಇದು ಪರಿಸರದ ಸುರಕ್ಷತೆಯನ್ನು ಸುಧಾರಿಸಲು ಮತ್ತು PHP ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಚಲಾಯಿಸುವಲ್ಲಿ ದುರ್ಬಲತೆಗಳಿಗೆ ಕಾರಣವಾಗುವ ಸಾಮಾನ್ಯ ದೋಷಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲು PHP7 ಇಂಟರ್ಪ್ರಿಟರ್‌ಗೆ ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಒದಗಿಸುತ್ತದೆ. ಮಾಡ್ಯೂಲ್ ನಿಮಗೆ ರಚಿಸಲು ಅನುಮತಿಸುತ್ತದೆ ವರ್ಚುವಲ್ ಪ್ಯಾಚ್‌ಗಳು ದುರ್ಬಲ ಅಪ್ಲಿಕೇಶನ್‌ನ ಮೂಲ ಕೋಡ್ ಅನ್ನು ಬದಲಾಯಿಸದೆ ನಿರ್ದಿಷ್ಟ ಸಮಸ್ಯೆಗಳನ್ನು ತೊಡೆದುಹಾಕಲು, ಇದು ಎಲ್ಲಾ ಬಳಕೆದಾರ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ನವೀಕೃತವಾಗಿರಿಸಲು ಅಸಾಧ್ಯವಾದ ಸಾಮೂಹಿಕ ಹೋಸ್ಟಿಂಗ್ ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿ ಬಳಸಲು ಅನುಕೂಲಕರವಾಗಿದೆ. ಮಾಡ್ಯೂಲ್‌ನ ಓವರ್‌ಹೆಡ್ ವೆಚ್ಚಗಳು ಕಡಿಮೆ ಎಂದು ಅಂದಾಜಿಸಲಾಗಿದೆ. ಮಾಡ್ಯೂಲ್ ಅನ್ನು C ನಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ, ಹಂಚಿದ ಲೈಬ್ರರಿಯ ರೂಪದಲ್ಲಿ ಸಂಪರ್ಕಿಸಲಾಗಿದೆ ("extension=snuffleupagus.so" php.ini ನಲ್ಲಿ) ಮತ್ತು ವಿತರಿಸುವವರು LGPL 3.0 ಅಡಿಯಲ್ಲಿ ಪರವಾನಗಿ ಪಡೆದಿದೆ.

Snuffleupagus ಸುರಕ್ಷತೆಯನ್ನು ಸುಧಾರಿಸಲು ಪ್ರಮಾಣಿತ ಟೆಂಪ್ಲೇಟ್‌ಗಳನ್ನು ಬಳಸಲು ಅಥವಾ ಇನ್‌ಪುಟ್ ಡೇಟಾ ಮತ್ತು ಕಾರ್ಯದ ನಿಯತಾಂಕಗಳನ್ನು ನಿಯಂತ್ರಿಸಲು ನಿಮ್ಮ ಸ್ವಂತ ನಿಯಮಗಳನ್ನು ರಚಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುವ ನಿಯಮಗಳ ವ್ಯವಸ್ಥೆಯನ್ನು ಒದಗಿಸುತ್ತದೆ. ಉದಾಹರಣೆಗೆ, ನಿಯಮ “sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಬದಲಾಯಿಸದೆಯೇ ಸಿಸ್ಟಮ್() ಫಂಕ್ಷನ್ ಆರ್ಗ್ಯುಮೆಂಟ್‌ಗಳಲ್ಲಿ ವಿಶೇಷ ಅಕ್ಷರಗಳ ಬಳಕೆಯನ್ನು ಮಿತಿಗೊಳಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಸಮಸ್ಯೆಗಳಂತಹ ದುರ್ಬಲತೆಗಳ ವರ್ಗಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲು ಅಂತರ್ನಿರ್ಮಿತ ವಿಧಾನಗಳನ್ನು ಒದಗಿಸಲಾಗಿದೆ, ಸಂಬಂಧಿಸಿದ ಡೇಟಾ ಸರಣಿಯೊಂದಿಗೆ, ಅಸುರಕ್ಷಿತ PHP ಮೇಲ್() ಕಾರ್ಯದ ಬಳಕೆ, XSS ದಾಳಿಯ ಸಮಯದಲ್ಲಿ ಕುಕೀ ವಿಷಯಗಳ ಸೋರಿಕೆ, ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಕೋಡ್‌ನೊಂದಿಗೆ ಫೈಲ್‌ಗಳನ್ನು ಲೋಡ್ ಮಾಡುವುದರಿಂದ ಉಂಟಾಗುವ ತೊಂದರೆಗಳು (ಉದಾಹರಣೆಗೆ, ಸ್ವರೂಪದಲ್ಲಿ phar), ಕಳಪೆ ಗುಣಮಟ್ಟದ ಯಾದೃಚ್ಛಿಕ ಸಂಖ್ಯೆಯ ಉತ್ಪಾದನೆ ಮತ್ತು ಪರ್ಯಾಯ ತಪ್ಪಾದ XML ರಚನೆಗಳು.

Snuffleupagus ಒದಗಿಸಿದ PHP ಭದ್ರತಾ ವರ್ಧನೆ ವಿಧಾನಗಳು:

  • ಕುಕೀಗಳಿಗಾಗಿ ಸ್ವಯಂಚಾಲಿತವಾಗಿ "ಸುರಕ್ಷಿತ" ಮತ್ತು "ಸಮೇಸೈಟ್" (CSRF ರಕ್ಷಣೆ) ಫ್ಲ್ಯಾಗ್‌ಗಳನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿ, ಗೂ ry ಲಿಪೀಕರಣ ಕುಕಿ;
  • ದಾಳಿಯ ಕುರುಹುಗಳನ್ನು ಗುರುತಿಸಲು ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ರಾಜಿ ಮಾಡಲು ಅಂತರ್ನಿರ್ಮಿತ ನಿಯಮಗಳ ಸೆಟ್;
  • ಬಲವಂತದ ಜಾಗತಿಕ ಸಕ್ರಿಯಗೊಳಿಸುವಿಕೆ "ಕಟ್ಟುನಿಟ್ಟಾದ" (ಉದಾಹರಣೆಗೆ, ಒಂದು ಪೂರ್ಣಾಂಕ ಮೌಲ್ಯವನ್ನು ವಾದವಾಗಿ ನಿರೀಕ್ಷಿಸುವಾಗ ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುವ ಪ್ರಯತ್ನವನ್ನು ನಿರ್ಬಂಧಿಸುತ್ತದೆ) ಮತ್ತು ವಿರುದ್ಧ ರಕ್ಷಣೆ ರೀತಿಯ ಕುಶಲತೆ;
  • ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ನಿರ್ಬಂಧಿಸಲಾಗುತ್ತಿದೆ ಪ್ರೋಟೋಕಾಲ್ ಹೊದಿಕೆಗಳು (ಉದಾಹರಣೆಗೆ, "phar://" ಅನ್ನು ನಿಷೇಧಿಸುವುದು) ಅವರ ಸ್ಪಷ್ಟ ಶ್ವೇತಪಟ್ಟಿಯೊಂದಿಗೆ;
  • ಬರೆಯಬಹುದಾದ ಫೈಲ್‌ಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ನಿಷೇಧ;
  • ಎವಾಲ್ಗಾಗಿ ಕಪ್ಪು ಮತ್ತು ಬಿಳಿ ಪಟ್ಟಿಗಳು;
  • ಬಳಸುವಾಗ TLS ಪ್ರಮಾಣಪತ್ರ ಪರಿಶೀಲನೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುವ ಅಗತ್ಯವಿದೆ
    ಕರ್ಲ್;
  • ಮೂಲ ಅಪ್ಲಿಕೇಶನ್‌ನಿಂದ ಸಂಗ್ರಹಿಸಲಾದ ಡೇಟಾವನ್ನು ಡೀರಿಯಲೈಸೇಶನ್ ಹಿಂಪಡೆಯುತ್ತದೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಧಾರಾವಾಹಿ ವಸ್ತುಗಳಿಗೆ HMAC ಅನ್ನು ಸೇರಿಸುವುದು;
  • ಲಾಗಿಂಗ್ ಮೋಡ್ ಅನ್ನು ವಿನಂತಿಸಿ;
  • XML ಡಾಕ್ಯುಮೆಂಟ್‌ಗಳಲ್ಲಿನ ಲಿಂಕ್‌ಗಳ ಮೂಲಕ libxml ನಲ್ಲಿ ಬಾಹ್ಯ ಫೈಲ್‌ಗಳನ್ನು ಲೋಡ್ ಮಾಡುವುದನ್ನು ನಿರ್ಬಂಧಿಸುವುದು;
  • ಅಪ್‌ಲೋಡ್ ಮಾಡಿದ ಫೈಲ್‌ಗಳನ್ನು ಪರಿಶೀಲಿಸಲು ಮತ್ತು ಸ್ಕ್ಯಾನ್ ಮಾಡಲು ಬಾಹ್ಯ ಹ್ಯಾಂಡ್ಲರ್‌ಗಳನ್ನು (upload_validation) ಸಂಪರ್ಕಿಸುವ ಸಾಮರ್ಥ್ಯ;

ಪೈಕಿ ಬದಲಾವಣೆಗಳನ್ನು ಹೊಸ ಬಿಡುಗಡೆಯಲ್ಲಿ: PHP 7.4 ಗಾಗಿ ಸುಧಾರಿತ ಬೆಂಬಲ ಮತ್ತು ಪ್ರಸ್ತುತ ಅಭಿವೃದ್ಧಿಯಲ್ಲಿರುವ PHP 8 ಶಾಖೆಯೊಂದಿಗೆ ಹೊಂದಾಣಿಕೆಯನ್ನು ಅಳವಡಿಸಲಾಗಿದೆ. syslog ಮೂಲಕ ಈವೆಂಟ್‌ಗಳನ್ನು ಲಾಗ್ ಮಾಡುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಸೇರಿಸಲಾಗಿದೆ (sp.log_media ನಿರ್ದೇಶನವನ್ನು ಸೇರ್ಪಡೆಗಾಗಿ ಪ್ರಸ್ತಾಪಿಸಲಾಗಿದೆ, ಇದು php ಅಥವಾ syslog ಮೌಲ್ಯಗಳನ್ನು ತೆಗೆದುಕೊಳ್ಳಬಹುದು). ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ವಿರುದ್ಧ ಇತ್ತೀಚೆಗೆ ಗುರುತಿಸಲಾದ ದುರ್ಬಲತೆಗಳು ಮತ್ತು ಆಕ್ರಮಣ ತಂತ್ರಗಳಿಗೆ ಹೊಸ ನಿಯಮಗಳನ್ನು ಸೇರಿಸಲು ನಿಯಮಗಳ ಡೀಫಾಲ್ಟ್ ಸೆಟ್ ಅನ್ನು ನವೀಕರಿಸಲಾಗಿದೆ. MacOS ಗೆ ಸುಧಾರಿತ ಬೆಂಬಲ ಮತ್ತು GitLab ಆಧಾರಿತ ನಿರಂತರ ಏಕೀಕರಣ ವೇದಿಕೆಯ ವಿಸ್ತರಿತ ಬಳಕೆ.

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ