ProHoster > بلاګ > انټرنیټ خبرونه > د Snuffleupagus پروژه د زیان منونکو مخنیوي لپاره د PHP ماډل رامینځته کوي

د Snuffleupagus پروژه د زیان منونکو مخنیوي لپاره د PHP ماډل رامینځته کوي

د پروژې په حدودو کې سنوفلپګوس وده کوي د PHP7 ژباړونکي سره د نښلولو لپاره ماډل، د چاپیریال امنیت ښه کولو لپاره ډیزاین شوی او د عام غلطیتونو مخه نیسي چې د PHP غوښتنلیکونو په چلولو کې د زیانونو المل ګرځي. ماډل تاسو ته اجازه درکوي چې د زیان منونکي غوښتنلیک سرچینې کوډ بدلولو پرته ځانګړي ستونزې حل کولو لپاره مجازی پیچونه رامینځته کړئ ، کوم چې د ډله ایز کوربه توب سیسټمونو کې د کارولو لپاره مناسب دی چیرې چې د کارونکي ټول غوښتنلیکونه تازه ساتل ناممکن دي. ماډل په C کې لیکل شوی، د ګډ کتابتون په بڼه وصل دی ("extension=snuffleupagus.so" په php.ini کې) او لخوا توزیع شوی د LGPL 3.0 لاندې جواز لري.

Snuffleupagus د قواعدو سیسټم چمتو کوي چې تاسو ته اجازه درکوي د امنیت ښه کولو لپاره معیاري ټیمپلیټونه وکاروئ، یا د ان پټ ډیټا او فعالیت پیرامیټونو کنټرول لپاره خپل قواعد رامینځته کړئ. د مثال په توګه، قاعده "sp.disable_function.function("system").param("command").value_r("[$|;&`\\n]").drop();" تاسو ته اجازه درکوي د سیسټم() فنکشن دلیلونو کې د غوښتنلیک بدلولو پرته د ځانګړو حروفونو کارول محدود کړئ. په ورته ډول، تاسو کولی شئ جوړ کړئ مجازی پیچونه د پیژندل شوي زیانونو مخنیوي لپاره.

د پراختیا کونکو لخوا ترسره شوي ازموینو لخوا قضاوت کول ، سنفلیپګس په سختۍ سره فعالیت کموي. د دې لپاره چې خپل امنیت ډاډمن کړي (د امنیت پرت کې احتمالي زیانونه د بریدونو لپاره د اضافي ویکتور په توګه کار کولی شي)، پروژه په مختلفو توزیعونو کې د هرې ژمنې بشپړه ازموینه کاروي، د جامد تحلیل سیسټمونه کاروي، او کوډ فارمیټ شوی او د پلټنې ساده کولو لپاره مستند شوی.

جوړ شوي میتودونه چمتو شوي ترڅو د زیان منونکو ټولګیو مخه ونیسي لکه مسلې، اړوند د معلوماتو سیریل کولو سره، ناامنه د PHP میل () فنکشن کارول، د XSS بریدونو په جریان کې د کوکي مینځپانګې لیک، د اجرا وړ کوډ سره د فایلونو بارولو له امله ستونزې (د مثال په توګه، په بڼه کې phar)، د بې کیفیته تصادفي شمیرې تولید او بدیل د XML ناسم جوړښت.

لاندې طریقې د پی ایچ پی امنیت لوړولو لپاره ملاتړ کیږي:

  • د کوکیز لپاره په اتوماتيک ډول "خوندي" او "همسایټ" (CSRF محافظت) بیرغونه فعال کړئ، کوډکښنه کوکي;
  • د بریدونو نښو پیژندلو او د غوښتنلیکونو موافقت لپاره د مقرراتو جوړ شوی سیټ؛
  • د جبري نړیوال فعالیت "سخت" (د مثال په توګه، د تار مشخص کولو هڅه بندوي کله چې د یو دلیل په توګه د عددي ارزښت تمه کول) او په وړاندې محافظت ډول ډول لاسوهنه;
  • ډیفالټ بلاک کول پروتوکول ریپرونه (د مثال په توګه، د "phar://" بندیز) د دوی په ښکاره سپین لیست کولو سره؛
  • د لیکلو وړ فایلونو اجرا کولو منع کول؛
  • د eval لپاره تور او سپین لیستونه؛
  • د کارولو پرمهال د TLS سند چیک کولو فعالولو لپاره اړین دی
    curl

  • په سیریل شوي شیانو کې د HMAC اضافه کول ترڅو ډاډ ترلاسه شي چې د اصلي غوښتنلیک لخوا زیرمه شوي ډیټا بیرته ترلاسه کوي؛
  • د ننوتلو حالت غوښتنه وکړئ؛
  • په XML سندونو کې د لینکونو له لارې په libxml کې د بهرني فایلونو بارولو بندول؛
  • د اپلوډ شوي فایلونو چک او سکین کولو لپاره د بهرني هینډلرونو سره وصل کولو وړتیا (upload_validation)؛

دا پروژه د یو لوی فرانسوي کوربه توب چلونکي زیربنا کې د کاروونکو ساتلو لپاره رامینځته شوې او کارول شوې. يادونه شوې دهچې په ساده ډول د Snuffleupagus سره نښلول به د ډیری خطرناکو زیانونو څخه ساتنه وکړي چې سږکال په ډروپل، ورډپریس او phpBB کې پیژندل شوي. په میګینټو او هورډ کې زیانونه د حالت په فعالولو سره بند کیدی شي
"sp.readonly_exec.enable()".

سرچینه: opennet.ru

Add a comment