ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > Snuffleupagus 0.5.1 නිකුතුව, PHP යෙදුම් වල දුර්වලතා අවහිර කිරීම සඳහා වූ මොඩියුලය

Snuffleupagus 0.5.1 නිකුතුව, PHP යෙදුම් වල දුර්වලතා අවහිර කිරීම සඳහා වූ මොඩියුලය

වසරක සංවර්ධනයෙන් පසු පළ කර ඇත ව්යාපෘති නිකුතුව Snuffleupagus 0.5.1, පරිසරයේ ආරක්ෂාව වැඩි දියුණු කිරීමට සහ PHP යෙදුම් ක්‍රියාත්මක කිරීමේදී දුර්වලතා වලට තුඩු දෙන පොදු දෝෂ අවහිර කිරීමට PHP7 පරිවර්තකය සඳහා මොඩියුලයක් සපයයි. මොඩියුලය ඔබට නිර්මාණය කිරීමටද ඉඩ සලසයි අතථ්‍ය පැච් සියලුම පරිශීලක යෙදුම් යාවත්කාලීනව තබා ගැනීමට නොහැකි වන මහා සත්කාරක පද්ධතිවල භාවිතයට පහසු වන අවදානමට ලක්විය හැකි යෙදුමේ ප්‍රභව කේතය වෙනස් නොකර නිශ්චිත ගැටළු ඉවත් කිරීමට. මොඩියුලයේ පොදු කාර්ය පිරිවැය අවම වශයෙන් ඇස්තමේන්තු කර ඇත. මොඩියුලය C වලින් ලියා ඇත, හවුල් පුස්තකාලයක ආකාරයෙන් සම්බන්ධ වේ (php.ini හි "extension=snuffleupagus.so") සහ විසින් බෙදා හරිනු ලැබේ LGPL 3.0 යටතේ බලපත්‍ර ලබා ඇත.

Snuffleupagus මඟින් ඔබට ආරක්ෂාව වැඩි දියුණු කිරීමට සම්මත සැකිලි භාවිතා කිරීමට ඉඩ සලසන නීති පද්ධතියක් සපයයි, නැතහොත් ආදාන දත්ත සහ ක්‍රියාකාරී පරාමිති පාලනය කිරීමට ඔබේම නීති නිර්මාණය කරයි. උදාහරණයක් ලෙස, රීතිය “sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” යෙදුම වෙනස් නොකර system() ශ්‍රිත තර්ක වල විශේෂ අක්ෂර භාවිතය සීමා කිරීමට ඔබට ඉඩ සලසයි. ගැටළු වැනි දුර්වලතා පන්ති අවහිර කිරීමට ගොඩනඟන ලද ක්‍රම සපයනු ලැබේ, සම්බන්ධිත දත්ත අනුක්‍රමිකකරණය සමඟ, අනාරක්ෂිත PHP තැපෑල () ශ්‍රිතය භාවිතා කිරීම, XSS ප්‍රහාර වලදී කුකී අන්තර්ගතය කාන්දු වීම, ක්‍රියාත්මක කළ හැකි කේතය සහිත ගොනු පැටවීම නිසා ඇති වන ගැටළු (උදාහරණයක් ලෙස, ආකෘතියෙන් phar), දුර්වල ගුණාත්මක අහඹු සංඛ්යා උත්පාදනය සහ ආදේශ කිරීම වැරදි XML ඉදිකිරීම්.

Snuffleupagus විසින් සපයනු ලබන PHP ආරක්ෂණ වැඩිදියුණු කිරීමේ මාතයන්:

  • කුකීස් සඳහා ස්වයංක්‍රීයව "සුරක්ෂිත" සහ "samesite" (CSRF ආරක්ෂණ) ධජ සබල කරන්න, ගුප්ත කේතනය කුකීස්;
  • ප්‍රහාරවල අංශු හඳුනා ගැනීම සහ යෙදුම් සම්මුතිය හඳුනා ගැනීම සඳහා ගොඩනඟන ලද නීති මාලාවක්;
  • බලහත්කාරයෙන් ගෝලීය සක්‍රීය කිරීම "දැඩි විය" (උදාහරණයක් ලෙස, තර්කයක් ලෙස පූර්ණ සංඛ්‍යා අගයක් අපේක්ෂා කරන විට තන්තුවක් නියම කිරීමට දරන උත්සාහය අවහිර කරයි) සහ ආරක්ෂාව වර්ගය හැසිරවීම;
  • පෙරනිමි අවහිර කිරීම ප්රොටෝකෝල දවටන (උදාහරණයක් ලෙස, "phar://" තහනම් කිරීම) ඔවුන්ගේ පැහැදිලි සුදු ලැයිස්තුගත කිරීම සමඟ;
  • ලිවිය හැකි ගොනු ක්‍රියාත්මක කිරීම තහනම් කිරීම;
  • eval සඳහා කළු සහ සුදු ලැයිස්තු;
  • භාවිතා කරන විට TLS සහතික පරීක්ෂා කිරීම සබල කිරීමට අවශ්‍ය වේ
    curl;
  • deserialization මුල් යෙදුම මගින් ගබඩා කර ඇති දත්ත ලබා ගැනීම සහතික කිරීම සඳහා අනුක්‍රමික වස්තූන් වෙත HMAC එකතු කිරීම;
  • ලොග් කිරීමේ මාදිලිය ඉල්ලන්න;
  • XML ලේඛනවල සබැඳි හරහා libxml හි බාහිර ගොනු පැටවීම අවහිර කිරීම;
  • උඩුගත කළ ගොනු පරීක්ෂා කිරීමට සහ පරිලෝකනය කිරීමට බාහිර හසුරුවන්න (upload_validation) සම්බන්ධ කිරීමේ හැකියාව;

අතර වෙනස් වෙනවා නව නිකුතුවේ: PHP 7.4 සඳහා වැඩි දියුණු කළ සහය සහ දැනට සංවර්ධනය වෙමින් පවතින PHP 8 ශාඛාව සමඟ ක්‍රියාත්මක ගැළපුම. syslog හරහා සිදුවීම් ලොග් කිරීමේ හැකියාව එක් කරන ලදී (sp.log_media විධානය ඇතුළත් කිරීම සඳහා යෝජනා කර ඇත, එය php හෝ syslog අගයන් ගත හැකිය). මෑතකදී හඳුනාගත් දුර්වලතා සහ වෙබ් යෙදුම්වලට එරෙහිව ප්‍රහාරක ක්‍රම සඳහා නව නීති ඇතුළත් කිරීමට පෙරනිමි නීති මාලාව යාවත්කාලීන කර ඇත. MacOS සඳහා වැඩි දියුණු කළ සහාය සහ GitLab මත පදනම් වූ අඛණ්ඩ ඒකාබද්ධතා වේදිකාවේ පුළුල් භාවිතය.

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න