Snuffleupagus ව්‍යාපෘතිය අනාරක්‍ෂිතතා අවහිර කිරීම සඳහා PHP මොඩියුලයක් සංවර්ධනය කරමින් සිටී

ව්යාපෘතියේ සීමාවන් තුළ ස්නෆ්ලියුපගස් වර්ධනය වේ PHP7 පරිවර්තකය වෙත සම්බන්ධ කිරීම සඳහා වන මොඩියුලයක්, පරිසරයේ ආරක්ෂාව වැඩි දියුණු කිරීමට සහ PHP යෙදුම් ක්‍රියාත්මක කිරීමේදී ඇති වන දුර්වලතා වලට තුඩු දෙන පොදු දෝෂ අවහිර කිරීමට නිර්මාණය කර ඇත. අවදානමට ලක්විය හැකි යෙදුමේ ප්‍රභව කේතය වෙනස් නොකර නිශ්චිත ගැටළු නිරාකරණය කිරීම සඳහා අථත්‍ය පැච් සෑදීමට මොඩියුලය ඔබට ඉඩ සලසයි, එය සියලුම පරිශීලක යෙදුම් යාවත්කාලීනව තබා ගැනීමට නොහැකි මහා සත්කාරක පද්ධතිවල භාවිතා කිරීමට පහසුය. මොඩියුලය C වලින් ලියා ඇත, හවුල් පුස්තකාලයක ආකාරයෙන් සම්බන්ධ වේ (php.ini හි "extension=snuffleupagus.so") සහ විසින් බෙදා හරිනු ලැබේ LGPL 3.0 යටතේ බලපත්‍ර ලබා ඇත.

Snuffleupagus මඟින් ඔබට ආරක්ෂාව වැඩි දියුණු කිරීමට සම්මත සැකිලි භාවිතා කිරීමට ඉඩ සලසන නීති පද්ධතියක් සපයයි, නැතහොත් ආදාන දත්ත සහ ක්‍රියාකාරී පරාමිති පාලනය කිරීමට ඔබේම නීති නිර්මාණය කරයි. උදාහරණයක් ලෙස, රීතිය “sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” යෙදුම වෙනස් නොකර system() ශ්‍රිත තර්ක වල විශේෂ අක්ෂර භාවිතය සීමා කිරීමට ඔබට ඉඩ සලසයි. ඒ හා සමානව, ඔබට නිර්මාණය කළ හැකිය අතථ්‍ය පැච් දන්නා දුර්වලතා අවහිර කිරීමට.

සංවර්ධකයින් විසින් සිදු කරන ලද පරීක්ෂණ මගින් විනිශ්චය කිරීම, Snuffleupagus කිසිසේත්ම කාර්ය සාධනය අඩු කරයි. තමන්ගේම ආරක්ෂාව සහතික කිරීම සඳහා (ආරක්ෂක ස්ථරයේ ඇති විය හැකි අවදානම් ප්‍රහාර සඳහා අතිරේක දෛශිකයක් ලෙස ක්‍රියා කළ හැකිය), ව්‍යාපෘතිය විවිධ බෙදාහැරීම් වලදී එක් එක් කැපවීම හොඳින් පරීක්ෂා කිරීම, ස්ථිතික විශ්ලේෂණ පද්ධති භාවිතා කරයි, සහ විගණනය සරල කිරීම සඳහා කේතය ආකෘතිකරණය කර ලේඛනගත කර ඇත.

ගැටළු වැනි දුර්වලතා පන්ති අවහිර කිරීමට ගොඩනඟන ලද ක්‍රම සපයනු ලැබේ, සම්බන්ධිත දත්ත අනුක්‍රමිකකරණය සමඟ, අනාරක්ෂිත PHP තැපෑල () ශ්‍රිතය භාවිතා කිරීම, XSS ප්‍රහාර වලදී කුකී අන්තර්ගතය කාන්දු වීම, ක්‍රියාත්මක කළ හැකි කේතය සහිත ගොනු පැටවීම නිසා ඇති වන ගැටළු (උදාහරණයක් ලෙස, ආකෘතියෙන් phar), දුර්වල ගුණාත්මක අහඹු සංඛ්යා උත්පාදනය සහ ආදේශ කිරීම වැරදි XML ඉදිකිරීම්.

PHP ආරක්ෂාව වැඩි කිරීමට පහත මාතයන් සහය දක්වයි:

• කුකීස් සඳහා ස්වයංක්‍රීයව "සුරක්ෂිත" සහ "samesite" (CSRF ආරක්ෂණ) ධජ සබල කරන්න, ගුප්ත කේතනය කුකීස්;
• ප්‍රහාරවල අංශු හඳුනා ගැනීම සහ යෙදුම් සම්මුතිය හඳුනා ගැනීම සඳහා ගොඩනඟන ලද නීති මාලාවක්;
• බලහත්කාරයෙන් ගෝලීය සක්‍රීය කිරීම "දැඩි විය" (උදාහරණයක් ලෙස, තර්කයක් ලෙස පූර්ණ සංඛ්‍යා අගයක් අපේක්ෂා කරන විට තන්තුවක් නියම කිරීමට දරන උත්සාහය අවහිර කරයි) සහ ආරක්ෂාව වර්ගය හැසිරවීම;
• පෙරනිමි අවහිර කිරීම ප්රොටෝකෝල දවටන (උදාහරණයක් ලෙස, "phar://" තහනම් කිරීම) ඔවුන්ගේ පැහැදිලි සුදු ලැයිස්තුගත කිරීම සමඟ;
• ලිවිය හැකි ගොනු ක්‍රියාත්මක කිරීම තහනම් කිරීම;
• eval සඳහා කළු සහ සුදු ලැයිස්තු;
• භාවිතා කරන විට TLS සහතික පරීක්ෂා කිරීම සබල කිරීමට අවශ්‍ය වේ
  curl;

• deserialization මුල් යෙදුම මගින් ගබඩා කර ඇති දත්ත ලබා ගැනීම සහතික කිරීම සඳහා අනුක්‍රමික වස්තූන් වෙත HMAC එකතු කිරීම;
• ලොග් කිරීමේ මාදිලිය ඉල්ලන්න;
• XML ලේඛනවල සබැඳි හරහා libxml හි බාහිර ගොනු පැටවීම අවහිර කිරීම;
• උඩුගත කළ ගොනු පරීක්ෂා කිරීමට සහ පරිලෝකනය කිරීමට බාහිර හසුරුවන්න (upload_validation) සම්බන්ධ කිරීමේ හැකියාව;

විශාල ප්‍රංශ සත්කාරක ක්‍රියාකරුවෙකුගේ යටිතල පහසුකම්වල පරිශීලකයින් ආරක්ෂා කිරීම සඳහා ව්‍යාපෘතිය නිර්මාණය කර භාවිතා කරන ලදී. එය සටහන් කර ඇතහුදෙක් Snuffleupagus සම්බන්ධ කිරීම Drupal, WordPress සහ phpBB හි මෙම වසරේ හඳුනාගත් බොහෝ භයානක දුර්වලතා වලින් ආරක්ෂා වනු ඇත. මාදිලිය සබල කිරීමෙන් Magento සහ Horde හි ඇති දුර්වලතා අවහිර කළ හැක
"sp.readonly_exec.enable()".

මූලාශ්රය: opennet.ru