I muri i te tau o te whanaketanga tuku kaupapa , e whakarato ana i tetahi waahanga mo te kaiwhakamaori PHP7 hei whakapai ake i te haumarutanga o te taiao me te aukati i nga hapa noa e arai ana ki nga whakaraeraetanga ki te whakahaere i nga tono PHP. Ka taea hoki e te kōwae te hanga ki te whakakore i nga raruraru motuhake me te kore e whakarereke i te waehere puna o te tono whakaraerae, he pai mo te whakamahi i roto i nga punaha manaaki papatipu kaore e taea te pupuri i nga tono kaiwhakamahi katoa ki te waa. Ko nga utu o runga ake o te waahanga e kiia ana he iti rawa. Kua tuhia te kōwae ki te C, e hono ana ki te ahua o te whare pukapuka tiri (“extension=snuffleupagus.so” i php.ini) me kua raihanatia i raro i te LGPL 3.0.
Ka whakaratohia e Snuffleupagus he punaha ture ka taea e koe te whakamahi i nga tauira paerewa hei whakapai ake i te haumarutanga, te hanga ranei i au ake ture hei whakahaere i nga raraunga whakauru me nga tawhā mahi. Hei tauira, ko te ture “sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” ka taea e koe te whakawhāiti i te whakamahinga o nga tohu motuhake i roto i nga tautohe mahi a te punaha() me te kore e whakarereke i te tono. Ka whakaratohia nga tikanga whakauru ki te aukati i nga karaehe whakaraerae penei i nga take, me te raupapa raraunga, te whakamahi i te mahi PHP mēra(), te rerenga o nga ihirangi Pihikete i te wa e whakaekea ana te XSS, nga raru na te utaina o nga konae me te waehere ka taea te kawe (hei tauira, i te whakatakotoranga. ), he iti te kounga o te whakaputa tau matapōkere me te he hanga XML.
Ko nga aratau whakarei haumarutanga PHP na Snuffleupagus:
- Whakahohe aunoatia nga haki "haumaru" me te "paanga kotahi" (te tiaki CSRF) mo nga Pihikete, Pihikete;
- He huinga ture i roto hei tautuhi i nga tohu o nga whakaeke me te whakararu i nga tono;
- Whakahohehia te ao o te "" (hei tauira, ka aukati i te ngana ki te tautuhi i tetahi aho ina e tatari ana he uara tauoti hei tohenga) me te whakamarumaru ki ;
- Ārai taunoa (hei tauira, te aukati i te "phar://") me o raatau rarangi ma;
- Te aukati i te whakahaere i nga konae ka taea te tuhi;
- Nga rarangi pango me te ma mo te eval;
- E hiahiatia ana kia taea te tirotiro Tiwhikete TLS ina whakamahi ana
korikori; - Te taapiri i te HMAC ki nga mea raupapa kia mohio ai ka tangohia e te deserialization nga raraunga kua rongoahia e te tono taketake;
- Tono aratau takiuru;
- Te aukati i te utaina o nga konae o waho ki te libxml ma nga hononga ki nga tuhinga XML;
- Te kaha ki te hono i nga kaihautu o waho (upload_validation) ki te tirotiro me te matawai i nga konae kua tukuna;
I roto i te i roto i te tukunga hou: Kua pai ake te tautoko mo te PHP 7.4 me te whakatinana i te hototahitanga ki te peka PHP 8 kei te whanake i tenei wa. Kua taapirihia te kaha ki te takiuru i nga kaupapa ma te syslog (ko te tohutohu sp.log_media e whakaarohia ana mo te whakauru, ka taea te tango i nga uara php, syslog ranei). Ko te huinga ture taunoa kua whakahoutia ki te whakauru i nga ture hou mo nga whakaraeraetanga i kitea tata nei me nga tikanga whakaeke ki nga tono tukutuku. He pai ake te tautoko mo te macOS me te whakamahi whanui i te papaaho whakauru tonu i runga i GitLab.
Source: opennet.ru