ProHoster > بلاګ > انټرنیټ خبرونه > د Snuffleupagus 0.5.1 خوشې کول، د PHP غوښتنلیکونو کې د زیان منونکو مخنیوي لپاره ماډل

د Snuffleupagus 0.5.1 خوشې کول، د PHP غوښتنلیکونو کې د زیان منونکو مخنیوي لپاره ماډل

د یو کال پرمختګ وروسته خپور شوی د پروژې خوشې کول Snuffleupagus 0.5.1، کوم چې د PHP7 ژباړونکي لپاره ماډل چمتو کوي ترڅو د چاپیریال امنیت ښه کړي او عام غلطۍ بندې کړي چې د PHP غوښتنلیکونو چلولو کې د زیانونو لامل کیږي. ماډل هم تاسو ته اجازه درکوي چې جوړ کړئ مجازی پیچونه د زیان منونکي غوښتنلیک د سرچینې کوډ بدلولو پرته د ځانګړو ستونزو له مینځه وړو لپاره، کوم چې د ډله ایز کوربه توب سیسټمونو کې د کارولو لپاره مناسب دی چیرې چې د کاروونکي ټول غوښتنلیکونه تازه ساتل ناممکن دي. د ماډل سر لګښتونه لږ تر لږه اټکل کیږي. ماډل په C کې لیکل شوی، د ګډ کتابتون په بڼه وصل دی ("extension=snuffleupagus.so" په php.ini کې) او لخوا توزیع شوی د LGPL 3.0 لاندې جواز لري.

Snuffleupagus د قواعدو سیسټم چمتو کوي چې تاسو ته اجازه درکوي د امنیت ښه کولو لپاره معیاري ټیمپلیټونه وکاروئ، یا د ان پټ ډیټا او فعالیت پیرامیټونو کنټرول لپاره خپل قواعد رامینځته کړئ. د مثال په توګه، قاعده "sp.disable_function.function("system").param("command").value_r("[$|;&`\\n]").drop();" تاسو ته اجازه درکوي د سیسټم() فنکشن دلیلونو کې د غوښتنلیک بدلولو پرته د ځانګړو حروفونو کارول محدود کړئ. جوړ شوي میتودونه چمتو شوي ترڅو د زیان منونکو ټولګیو مخه ونیسي لکه مسلې، اړوند د معلوماتو سیریل کولو سره، ناامنه د PHP میل () فنکشن کارول، د XSS بریدونو په جریان کې د کوکي مینځپانګې لیک، د اجرا وړ کوډ سره د فایلونو بارولو له امله ستونزې (د مثال په توګه، په بڼه کې phar)، د بې کیفیته تصادفي شمیرې تولید او بدیل د XML ناسم جوړښت.

د Snuffleupagus لخوا چمتو شوي د PHP امنیت لوړولو طریقې:

  • د کوکیز لپاره په اتوماتيک ډول "خوندي" او "همسایټ" (CSRF محافظت) بیرغونه فعال کړئ، کوډکښنه کوکي;
  • د بریدونو نښو پیژندلو او د غوښتنلیکونو موافقت لپاره د مقرراتو جوړ شوی سیټ؛
  • د جبري نړیوال فعالیت "سخت" (د مثال په توګه، د تار مشخص کولو هڅه بندوي کله چې د یو دلیل په توګه د عددي ارزښت تمه کول) او په وړاندې محافظت ډول ډول لاسوهنه;
  • ډیفالټ بلاک کول پروتوکول ریپرونه (د مثال په توګه، د "phar://" بندیز) د دوی په ښکاره سپین لیست کولو سره؛
  • د لیکلو وړ فایلونو اجرا کولو منع کول؛
  • د eval لپاره تور او سپین لیستونه؛
  • د کارولو پرمهال د TLS سند چیک کولو فعالولو لپاره اړین دی
    curl
  • په سیریل شوي شیانو کې د HMAC اضافه کول ترڅو ډاډ ترلاسه شي چې د اصلي غوښتنلیک لخوا زیرمه شوي ډیټا بیرته ترلاسه کوي؛
  • د ننوتلو حالت غوښتنه وکړئ؛
  • په XML سندونو کې د لینکونو له لارې په libxml کې د بهرني فایلونو بارولو بندول؛
  • د اپلوډ شوي فایلونو چک او سکین کولو لپاره د بهرني هینډلرونو سره وصل کولو وړتیا (upload_validation)؛

د بدلونونه په نوې خپرونه کې: د PHP 7.4 لپاره ښه ملاتړ او د PHP 8 څانګې سره مطابقت پلي شوی چې دا مهال د syslog له لارې د پیښو ثبتولو وړتیا اضافه کړې (د sp.log_media لارښود د شاملولو لپاره وړاندیز شوی، کوم چې کولی شي php یا syslog ارزښتونه واخلي). د مقرراتو ډیفالټ سیټ تازه شوی ترڅو د وروستي پیژندل شوي زیانونو او د ویب غوښتنلیکونو پروړاندې د برید تخنیکونو لپاره نوي مقررات شامل کړي. د MacOS لپاره ښه ملاتړ او د GitLab پراساس د دوامداره ادغام پلیټ فارم پراخه کارول.

سرچینه: opennet.ru

Add a comment