Xuduudaha mashruuca module ah isku xidhka tarjumaanka PHP7, loogu talagalay in lagu hagaajiyo ammaanka deegaanka iyo xannibi khaladaadka caadiga ah ee u horseedaya nuglaanta socodsiinta codsiyada PHP. Module sidoo kale wuxuu kuu ogolaanayaa inaad abuurto balastar dalwaddii si aad u xalliso dhibaatooyin gaar ah adigoon bedelin koodhka isha ee codsiga nugul, kaas oo ku habboon isticmaalka nidaamyada martigelinta ballaaran halkaasoo aysan suurtagal ahayn in la sii wado dhammaan codsiyada isticmaalaha ilaa taariikhda. Cutubka waxa uu ku qoran yahay C, waxa uu ku xidhan yahay qaab maktabad la wadaago ("extension=snuffleupagus.so" ee php.ini) iyo shatiga ku haysta LGPL 3.0.
Snuffleupagus wuxuu bixiyaa nidaam xeer kaas oo kuu ogolaanaya inaad isticmaasho jaantusyada caadiga ah si aad u wanaajiso amniga, ama aad u sameyso xeerar adiga kuu gaar ah si aad u xakameyso xogta gelinta iyo cabbirrada shaqada. Tusaale ahaan, qaanuunka "sp.disable_function.function ("system").param ("command").value_r ("[$|; & `\n]"). dhibic ();" Waxay kuu ogolaaneysaa inaad xaddido isticmaalka jilayaasha gaarka ah ee nidaamka () doodaha shaqada adigoon bedelin codsiga. Si la mid ah, waad abuuri kartaa si loo xakameeyo baylahda la yaqaan.
Marka la eego imtixaanada ay sameeyeen horumariyayaashu, Snuffleupagus si dhib leh ayay u yareeyaan waxqabadka. Si loo xaqiijiyo ammaankeeda ( dayac-tirka suurtagalka ah ee lakabka ammaanku waxay u adeegi kartaa sida vector dheeraad ah oo weerarrada ah), mashruucu wuxuu isticmaalaa imtixaan dhamaystiran oo mid kasta oo ka mid ah samaynta qaybinta kala duwan, wuxuu adeegsadaa hababka falanqaynta static, iyo koodka waa la qaabeeyey oo la diiwaangeliyay si loo fududeeyo xisaabinta.
Hababka la dhisay ayaa la bixiyaa si loo xakameeyo noocyada baylahda sida arrimaha, oo leh xog taxane ah, isticmaalka PHP mail () shaqada, daadinta waxyaabaha ku jira kukiyada inta lagu guda jiro weerarada XSS, dhibaatooyinka ay sabab u tahay raritaanka faylasha leh kood la fulin karo (tusaale ahaan, qaabka ), jiilka tirada random tayada liidata iyo dhismayaal XML khaldan
Hababka soo socda ayaa la taageeraya si kor loogu qaado amniga PHP:
- Si toos ah ugu sahla "ammaan" iyo "samesite" ( ilaalinta CSRF) ee Kukiyada, Kukiyada;
- Xeerar lagu dhex dhisay si loo garto raadadka weerarrada iyo tanaasulka codsiyada;
- Dhaqdhaqaaqa caalamiga ah ee qasabka ah""(tusaale ahaan, wuxuu xannibaa isku dayga lagu qeexayo xargaha marka la filayo qiimaha isugeynta dood ahaan) iyo ka hortagga ;
- Xiritaanka caadiga ah (tusaale ahaan, mamnuucida "phar://") oo wata liiskooda cad;
- Mamnuucida fulinta faylasha la qori karo;
- Liisaska madow iyo caddaanka ah ee eval;
- Loo baahan yahay si loo suurtageliyo hubinta shahaadada TLS marka la isticmaalayo
laablaabashada; - Ku darida HMAC walxaha taxanaha ah si loo hubiyo in kala-goyntu ay dib u soo ceshato xogta lagu kaydiyay codsigii asalka ahaa;
- Codso habka jaridda;
- Joojinta raritaanka faylasha dibadda ee libxml iyada oo la adeegsanayo isku xirka dukumentiyada XML;
- Awoodda isku xidhka hawlwadeennada dibadda (upload_validation) si loo hubiyo oo loo baadho faylasha la soo galiyay;
Mashruuca waxaa la abuuray oo loo isticmaalay in lagu ilaaliyo dadka isticmaala kaabayaasha mid ka mid ah hawl-wadeennada martigelinta Faransiiska ee waaweyn. in si fudud isku xirka Snuffleupagus ay ka ilaalin doonto qaar badan oo ka mid ah dayacanka halista ah ee lagu aqoonsaday sanadkan Drupal, WordPress iyo phpBB. Nuglaanta Magento iyo Horde waa la xannibi karaa iyadoo awood loo siiyo qaabka
"sp.readonly_exec.enable()".
Source: opennet.ru