پرو هوسٽر > بلاگ > انٽرنيٽ خبرون > Snuffleupagus پروجيڪٽ ترقي ڪري رهيو آهي PHP ماڊل کي بلاڪ ڪرڻ لاءِ خطرن کي

Snuffleupagus پروجيڪٽ ترقي ڪري رهيو آهي PHP ماڊل کي بلاڪ ڪرڻ لاءِ خطرن کي

منصوبي جي حدن ۾ سنيفلوپيگس ترقي ڪري ٿو PHP7 مترجم سان ڳنڍڻ لاءِ هڪ ماڊل، ماحول جي حفاظت کي بهتر بڻائڻ ۽ عام غلطين کي بلاڪ ڪرڻ لاءِ ٺهيل آهي جيڪي PHP ايپليڪيشنن کي هلائڻ ۾ ڪمزورين جو سبب بڻجن ٿيون. ماڊل پڻ توهان کي مجازي پيچ ٺاهڻ جي اجازت ڏئي ٿو مخصوص مسئلن کي حل ڪرڻ جي بغير ڪنهن ڪمزور ايپليڪيشن جي سورس ڪوڊ کي تبديل ڪرڻ جي، جيڪا ماس هوسٽنگ سسٽم ۾ استعمال لاءِ آسان آهي جتي سڀني صارفن جي ايپليڪيشنن کي اپڊيٽ رکڻ ناممڪن آهي. ماڊل C ۾ لکيل آهي، هڪ گڏيل لائبريري جي صورت ۾ ڳنڍيل آهي (php.ini ۾ "extension=snuffleupagus.so") ۽ طرفان ورهايل LGPL 3.0 تحت لائسنس يافته.

Snuffleupagus هڪ ضابطي وارو نظام مهيا ڪري ٿو جيڪو توهان کي سيڪيورٽي کي بهتر ڪرڻ لاءِ معياري ٽيمپليٽ استعمال ڪرڻ جي اجازت ڏئي ٿو، يا ان پٽ ڊيٽا ۽ فنڪشن پيرا ميٽرز کي ڪنٽرول ڪرڻ لاءِ پنهنجا ضابطا ٺاهي ٿو. مثال طور، قاعدو “sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” توهان کي اجازت ڏئي ٿو ته خاص اکرن جي استعمال کي محدود ڪرڻ جي سسٽم() فنڪشن جي دليلن ۾ بغير ايپليڪيشن کي تبديل ڪرڻ جي. ساڳئي طرح، توهان ٺاهي سگهو ٿا مجازي پيچ ڄاڻايل خطرن کي روڪڻ لاء.

ڊولپرز پاران ڪيل تجربن جي ذريعي، Snuffleupagus مشڪل سان ڪارڪردگي کي گھٽائي ٿو. پنهنجي حفاظت کي يقيني بڻائڻ لاءِ (سيڪيورٽي پرت ۾ ممڪن نقصانات حملن لاءِ اضافي ویکٹر طور ڪم ڪري سگهن ٿيون)، پروجيڪٽ مختلف تقسيم ۾ هر ڪمٽ جي مڪمل جانچ کي استعمال ڪري ٿو، جامد تجزياتي نظام استعمال ڪري ٿو، ۽ ڪوڊ فارميٽ ڪيو ويو آهي ۽ دستاويز ڪيل آڊيٽنگ کي آسان ڪرڻ لاءِ.

تعمير ٿيل طريقا مهيا ڪيا ويا آھن طبقن جي ڪمزورين کي بلاڪ ڪرڻ لاءِ جيئن مسئلا، لاڳاپيل ڊيٽا جي ترتيب سان، غير محفوظ PHP mail() فنڪشن جو استعمال، XSS حملن دوران ڪوڪي مواد جو ليڪ ٿيڻ، ايگزيڪيوٽو ڪوڊ سان فائلون لوڊ ڪرڻ سبب مسئلا (مثال طور، فارميٽ ۾ phar)، خراب معيار بي ترتيب نمبر جي پيداوار ۽ متبادل غلط XML ٺاھڻ.

PHP سيڪيورٽي کي وڌائڻ لاءِ هيٺين طريقن کي سپورٽ ڪيو ويو آهي:

  • ڪوڪيز لاءِ پاڻمرادو "محفوظ" ۽ "ساڳي سائيٽ" (CSRF تحفظ) جھنڊن کي فعال ڪريو، ڪچهري ڪوڪي؛
  • حملن جي نشانين جي نشاندهي ڪرڻ ۽ ايپليڪيشنن جي سمجھوتي لاءِ قاعدن جو بلٽ ان سيٽ؛
  • جي زبردستي عالمي چالو "سخت" (مثال طور، هڪ اسٽرنگ کي بيان ڪرڻ جي ڪوشش کي بلاڪ ڪري ٿو جڏهن هڪ انٽيجر قدر جي اميد رکي ٿي دليل طور) ۽ خلاف تحفظ قسم جي ڦيرڦار;
  • ڊفالٽ بلاڪنگ پروٽوڪول لفافي (مثال طور، منع ڪرڻ "phar://") انهن جي واضح وائيٽ لسٽنگ سان؛
  • لکڻ جي قابل فائلن تي عمل ڪرڻ تي پابندي؛
  • eval لاء ڪارو ۽ اڇو فهرستون؛
  • استعمال ڪرڻ وقت TLS سرٽيفڪيٽ چيڪنگ کي فعال ڪرڻ جي ضرورت آهي
    curl

  • HMAC کي سيريل ٿيل شين ۾ شامل ڪرڻ کي يقيني بڻائڻ لاءِ ته ڊيسيريلائيزيشن اصل ايپليڪيشن پاران محفوظ ڪيل ڊيٽا کي ٻيهر حاصل ڪري ٿي؛
  • درخواست لاگنگ موڊ؛
  • XML دستاويزن ۾ لنڪ ذريعي libxml ۾ ٻاهرين فائلن جي لوڊشيڊنگ کي بلاڪ ڪرڻ؛
  • اپلوڊ ٿيل فائلن کي چيڪ ڪرڻ ۽ اسڪين ڪرڻ لاءِ خارجي هينڊلر (upload_validation) ڳنڍڻ جي صلاحيت؛

پروجيڪٽ ٺاهي وئي ۽ استعمال ڪندڙن کي بچائڻ لاءِ استعمال ڪيو ويو انفراسٽرڪچر ۾ هڪ وڏي فرانسيسي هوسٽنگ آپريٽرز مان. اهو نوٽ ڪيو ويو آهيجيڪو صرف سنفليپگس کي ڳنڍڻ سان هن سال ڊروپل، ورڈپریس ۽ پي پي بي بي ۾ سڃاڻپ ٿيل ڪيترن ئي خطرناڪ خطرن جي خلاف حفاظت ڪندو. Magento ۽ Horde ۾ ڪمزورين کي موڊ کي چالو ڪندي بلاڪ ڪري سگھجي ٿو
"sp.readonly_exec.enable()".

جو ذريعو: opennet.ru

تبصرو شامل ڪريو