ProHoster > Блог > rongo ipurangi > Tukunga o Snuffleupagus 0.5.1, he kōwae mo te aukati i nga whakaraeraetanga i roto i nga tono PHP

Tukunga o Snuffleupagus 0.5.1, he kōwae mo te aukati i nga whakaraeraetanga i roto i nga tono PHP

I muri i te tau o te whanaketanga whakaputaina tuku kaupapa Snuffleupagus 0.5.1, e whakarato ana i tetahi waahanga mo te kaiwhakamaori PHP7 hei whakapai ake i te haumarutanga o te taiao me te aukati i nga hapa noa e arai ana ki nga whakaraeraetanga ki te whakahaere i nga tono PHP. Ka taea hoki e te kōwae te hanga papaki mariko ki te whakakore i nga raruraru motuhake me te kore e whakarereke i te waehere puna o te tono whakaraerae, he pai mo te whakamahi i roto i nga punaha manaaki papatipu kaore e taea te pupuri i nga tono kaiwhakamahi katoa ki te waa. Ko nga utu o runga ake o te waahanga e kiia ana he iti rawa. Kua tuhia te kōwae ki te C, e hono ana ki te ahua o te whare pukapuka tiri (“extension=snuffleupagus.so” i php.ini) me tohaina e kua raihanatia i raro i te LGPL 3.0.

Ka whakaratohia e Snuffleupagus he punaha ture ka taea e koe te whakamahi i nga tauira paerewa hei whakapai ake i te haumarutanga, te hanga ranei i au ake ture hei whakahaere i nga raraunga whakauru me nga tawhā mahi. Hei tauira, ko te ture “sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” ka taea e koe te whakawhāiti i te whakamahinga o nga tohu motuhake i roto i nga tautohe mahi a te punaha() me te kore e whakarereke i te tono. Ka whakaratohia nga tikanga whakauru ki te aukati i nga karaehe whakaraerae penei i nga take, pātahi me te raupapa raraunga, kore haumaru te whakamahi i te mahi PHP mēra(), te rerenga o nga ihirangi Pihikete i te wa e whakaekea ana te XSS, nga raru na te utaina o nga konae me te waehere ka taea te kawe (hei tauira, i te whakatakotoranga. phar), he iti te kounga o te whakaputa tau matapōkere me te whakakapinga he hanga XML.

Ko nga aratau whakarei haumarutanga PHP na Snuffleupagus:

  • Whakahohe aunoatia nga haki "haumaru" me te "paanga kotahi" (te tiaki CSRF) mo nga Pihikete, whakamunatanga Pihikete;
  • He huinga ture i roto hei tautuhi i nga tohu o nga whakaeke me te whakararu i nga tono;
  • Whakahohehia te ao o te "tino" (hei tauira, ka aukati i te ngana ki te tautuhi i tetahi aho ina e tatari ana he uara tauoti hei tohenga) me te whakamarumaru ki momo raweke;
  • Ārai taunoa takai kawa (hei tauira, te aukati i te "phar://") me o raatau rarangi ma;
  • Te aukati i te whakahaere i nga konae ka taea te tuhi;
  • Nga rarangi pango me te ma mo te eval;
  • E hiahiatia ana kia taea te tirotiro Tiwhikete TLS ina whakamahi ana
    korikori;
  • Te taapiri i te HMAC ki nga mea raupapa kia mohio ai ka tangohia e te deserialization nga raraunga kua rongoahia e te tono taketake;
  • Tono aratau takiuru;
  • Te aukati i te utaina o nga konae o waho ki te libxml ma nga hononga ki nga tuhinga XML;
  • Te kaha ki te hono i nga kaihautu o waho (upload_validation) ki te tirotiro me te matawai i nga konae kua tukuna;

I roto i te huringa I roto i te tukunga hou: Kua whakapaitia te tautoko mō te PHP 7.4 me te hototahi ki te peka whanaketanga PHP 8. Kua tāpirihia te kaha ki te takiuru i ngā kaupapa mā te syslog (ko te tohutohu sp.log_media, ka taea te tango i ngā uara php, syslog rānei, e whakaarohia ana hei whakahohe). Kua whakahoutia te huinga ture taunoa, me te tāpiri i ngā ture hou mō ngā ngoikoretanga kua tautuhia tata nei me ngā tikanga whakaeke mō ngā tono tukutuku. Kua whakapaitia te tautoko macOS ā, i whakawhānui ake i te whakamahinga o te tūāpapa whakauru tonu i runga i te GitLab.

Source: opennet.ru

Hokona te manaaki pono mo nga waahi me te tiaki DDoS, nga kaiwhakarato VPS VDS 🔥 Hokona he manaaki paetukutuku pono me te tiakitanga DDoS, ngā tūmau VPS VDS | ProHoster