Snuffleupagus ప్రాజెక్ట్ దుర్బలత్వాలను నిరోధించడానికి PHP మాడ్యూల్‌ను అభివృద్ధి చేస్తోంది

ప్రాజెక్ట్ సరిహద్దుల్లో స్నాఫ్లుపాగస్ అభివృద్ధి చెందుతుంది PHP7 ఇంటర్‌ప్రెటర్‌కు కనెక్ట్ చేయడానికి ఒక మాడ్యూల్, పర్యావరణం యొక్క భద్రతను మెరుగుపరచడానికి మరియు PHP అప్లికేషన్‌లను అమలు చేయడంలో ప్రమాదాలకు దారితీసే సాధారణ లోపాలను నిరోధించడానికి రూపొందించబడింది. మాడ్యూల్ హాని కలిగించే అప్లికేషన్ యొక్క సోర్స్ కోడ్‌ను మార్చకుండా నిర్దిష్ట సమస్యలను పరిష్కరించడానికి వర్చువల్ ప్యాచ్‌లను సృష్టించడానికి మిమ్మల్ని అనుమతిస్తుంది, ఇది మాస్ హోస్టింగ్ సిస్టమ్‌లలో ఉపయోగించడానికి అనుకూలమైనది, ఇక్కడ అన్ని వినియోగదారు అప్లికేషన్‌లను తాజాగా ఉంచడం అసాధ్యం. మాడ్యూల్ Cలో వ్రాయబడింది, భాగస్వామ్య లైబ్రరీ రూపంలో కనెక్ట్ చేయబడింది (php.iniలో “extension=snuffleupagus.so”) మరియు ద్వారా పంపిణీ చేయబడింది LGPL 3.0 కింద లైసెన్స్ పొందింది.

Snuffleupagus భద్రతను మెరుగుపరచడానికి ప్రామాణిక టెంప్లేట్‌లను ఉపయోగించడానికి లేదా ఇన్‌పుట్ డేటా మరియు ఫంక్షన్ పారామితులను నియంత్రించడానికి మీ స్వంత నియమాలను రూపొందించడానికి మిమ్మల్ని అనుమతించే నియమాల వ్యవస్థను అందిస్తుంది. ఉదాహరణకు, నియమం “sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” అప్లికేషన్‌ను మార్చకుండా సిస్టమ్() ఫంక్షన్ ఆర్గ్యుమెంట్‌లలో ప్రత్యేక అక్షరాల వినియోగాన్ని పరిమితం చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. అదేవిధంగా, మీరు సృష్టించవచ్చు వర్చువల్ పాచెస్ తెలిసిన దుర్బలత్వాలను నిరోధించడానికి.

డెవలపర్లు నిర్వహించిన పరీక్షల ద్వారా నిర్ణయించడం, Snuffleupagus అరుదుగా పనితీరును తగ్గిస్తుంది. దాని స్వంత భద్రతను నిర్ధారించడానికి (భద్రతా లేయర్‌లో సాధ్యమయ్యే దుర్బలత్వాలు దాడులకు అదనపు వెక్టర్‌గా ఉపయోగపడతాయి), ప్రాజెక్ట్ వివిధ పంపిణీలలో ప్రతి కమిట్‌ను క్షుణ్ణంగా పరీక్షిస్తుంది, స్టాటిక్ అనాలిసిస్ సిస్టమ్‌లను ఉపయోగిస్తుంది మరియు ఆడిటింగ్‌ను సరళీకృతం చేయడానికి కోడ్ ఫార్మాట్ చేయబడుతుంది మరియు డాక్యుమెంట్ చేయబడుతుంది.

సమస్యలు వంటి దుర్బలత్వాల తరగతులను నిరోధించడానికి అంతర్నిర్మిత పద్ధతులు అందించబడ్డాయి, సంబంధించిన డేటా సీరియలైజేషన్‌తో, అసురక్షిత PHP మెయిల్() ఫంక్షన్‌ని ఉపయోగించడం, XSS దాడుల సమయంలో కుకీ కంటెంట్‌ల లీకేజీ, ఎక్జిక్యూటబుల్ కోడ్‌తో ఫైల్‌లను లోడ్ చేయడం వల్ల సమస్యలు (ఉదాహరణకు, ఫార్మాట్‌లో phar), పేద నాణ్యత యాదృచ్ఛిక సంఖ్య ఉత్పత్తి మరియు ప్రత్యామ్నాయం సరికాని XML నిర్మాణాలు.

PHP భద్రతను మెరుగుపరచడానికి క్రింది మోడ్‌లకు మద్దతు ఉంది:

• కుక్కీల కోసం "సురక్షిత" మరియు "సమేసైట్" (CSRF రక్షణ) ఫ్లాగ్‌లను స్వయంచాలకంగా ప్రారంభించండి, ఎన్క్రిప్షన్ కుకీ;
• దాడుల జాడలను గుర్తించడానికి మరియు అప్లికేషన్‌ల రాజీకి అంతర్నిర్మిత నియమాల సెట్;
• బలవంతంగా గ్లోబల్ యాక్టివేషన్ "కఠినంగా" (ఉదాహరణకు, పూర్ణాంక విలువను ఆర్గ్యుమెంట్‌గా ఆశించేటప్పుడు స్ట్రింగ్‌ను పేర్కొనే ప్రయత్నాన్ని బ్లాక్ చేస్తుంది) మరియు రక్షణ రకం తారుమారు;
• డిఫాల్ట్‌గా నిరోధించడం ప్రోటోకాల్ రేపర్లు (ఉదాహరణకు, "phar://"ని నిషేధించడం) వారి స్పష్టమైన వైట్‌లిస్టింగ్‌తో;
• వ్రాయదగిన ఫైల్‌లను అమలు చేయడంపై నిషేధం;
• ఎవాల్ కోసం నలుపు మరియు తెలుపు జాబితాలు;
• ఉపయోగిస్తున్నప్పుడు TLS ప్రమాణపత్రం తనిఖీని ప్రారంభించడం అవసరం
  కర్ల్;

• అసలైన అప్లికేషన్ ద్వారా నిల్వ చేయబడిన డేటాను డీరియలైజేషన్ తిరిగి పొందుతుందని నిర్ధారించడానికి సీరియలైజ్ చేయబడిన వస్తువులకు HMACని జోడించడం;
• లాగింగ్ మోడ్‌ను అభ్యర్థించండి;
• XML డాక్యుమెంట్‌లలోని లింక్‌ల ద్వారా libxmlలో బాహ్య ఫైల్‌లను లోడ్ చేయడాన్ని నిరోధించడం;
• అప్‌లోడ్ చేసిన ఫైల్‌లను తనిఖీ చేయడానికి మరియు స్కాన్ చేయడానికి బాహ్య హ్యాండ్లర్‌లను కనెక్ట్ చేసే సామర్థ్యం (upload_validation);

ప్రాజెక్ట్ సృష్టించబడింది మరియు పెద్ద ఫ్రెంచ్ హోస్టింగ్ ఆపరేటర్‌లలో ఒకదాని మౌలిక సదుపాయాలలో వినియోగదారులను రక్షించడానికి ఉపయోగించబడింది. ఇది గుర్తించబడిందిSnuffleupagusని కనెక్ట్ చేయడం వలన ఈ సంవత్సరం Drupal, WordPress మరియు phpBBలలో గుర్తించబడిన అనేక ప్రమాదకరమైన దుర్బలత్వాల నుండి రక్షించబడుతుంది. మోడ్‌ను ప్రారంభించడం ద్వారా Magento మరియు Hordeలోని దుర్బలత్వాలను నిరోధించవచ్చు
"sp.readonly_exec.enable()".

మూలం: opennet.ru