වසරක සංවර්ධනයෙන් පසු
Snuffleupagus මඟින් ඔබට ආරක්ෂාව වැඩි දියුණු කිරීමට සම්මත සැකිලි භාවිතා කිරීමට ඉඩ සලසන නීති පද්ධතියක් සපයයි, නැතහොත් ආදාන දත්ත සහ ක්රියාකාරී පරාමිති පාලනය කිරීමට ඔබේම නීති නිර්මාණය කරයි. උදාහරණයක් ලෙස, රීතිය “sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” යෙදුම වෙනස් නොකර system() ශ්රිත තර්ක වල විශේෂ අක්ෂර භාවිතය සීමා කිරීමට ඔබට ඉඩ සලසයි. ගැටළු වැනි දුර්වලතා පන්ති අවහිර කිරීමට ගොඩනඟන ලද ක්රම සපයනු ලැබේ,
Snuffleupagus විසින් සපයනු ලබන PHP ආරක්ෂණ වැඩිදියුණු කිරීමේ මාතයන්:
- කුකීස් සඳහා ස්වයංක්රීයව "සුරක්ෂිත" සහ "samesite" (CSRF ආරක්ෂණ) ධජ සබල කරන්න,
ගුප්ත කේතනය කුකීස්; - ප්රහාරවල අංශු හඳුනා ගැනීම සහ යෙදුම් සම්මුතිය හඳුනා ගැනීම සඳහා ගොඩනඟන ලද නීති මාලාවක්;
- බලහත්කාරයෙන් ගෝලීය සක්රීය කිරීම "
දැඩි විය " (උදාහරණයක් ලෙස, තර්කයක් ලෙස පූර්ණ සංඛ්යා අගයක් අපේක්ෂා කරන විට තන්තුවක් නියම කිරීමට දරන උත්සාහය අවහිර කරයි) සහ ආරක්ෂාවවර්ගය හැසිරවීම ; - පෙරනිමි අවහිර කිරීම
ප්රොටෝකෝල දවටන (උදාහරණයක් ලෙස, "phar://" තහනම් කිරීම) ඔවුන්ගේ පැහැදිලි සුදු ලැයිස්තුගත කිරීම සමඟ; - ලිවිය හැකි ගොනු ක්රියාත්මක කිරීම තහනම් කිරීම;
- eval සඳහා කළු සහ සුදු ලැයිස්තු;
- භාවිතා කරන විට TLS සහතික පරීක්ෂා කිරීම සබල කිරීමට අවශ්ය වේ
curl; - deserialization මුල් යෙදුම මගින් ගබඩා කර ඇති දත්ත ලබා ගැනීම සහතික කිරීම සඳහා අනුක්රමික වස්තූන් වෙත HMAC එකතු කිරීම;
- ලොග් කිරීමේ මාදිලිය ඉල්ලන්න;
- XML ලේඛනවල සබැඳි හරහා libxml හි බාහිර ගොනු පැටවීම අවහිර කිරීම;
- උඩුගත කළ ගොනු පරීක්ෂා කිරීමට සහ පරිලෝකනය කිරීමට බාහිර හසුරුවන්න (upload_validation) සම්බන්ධ කිරීමේ හැකියාව;
අතර
මූලාශ්රය: opennet.ru