Snuffleupagus ప్రాజెక్ట్ దుర్బలత్వాలను నిరోధించడానికి PHP మాడ్యూల్ను అభివృద్ధి చేస్తోంది
ప్రాజెక్ట్ సరిహద్దుల్లో స్నాఫ్లుపాగస్అభివృద్ధి చెందుతుంది PHP7 ఇంటర్ప్రెటర్కు కనెక్ట్ చేయడానికి ఒక మాడ్యూల్, పర్యావరణం యొక్క భద్రతను మెరుగుపరచడానికి మరియు PHP అప్లికేషన్లను అమలు చేయడంలో ప్రమాదాలకు దారితీసే సాధారణ లోపాలను నిరోధించడానికి రూపొందించబడింది. మాడ్యూల్ హాని కలిగించే అప్లికేషన్ యొక్క సోర్స్ కోడ్ను మార్చకుండా నిర్దిష్ట సమస్యలను పరిష్కరించడానికి వర్చువల్ ప్యాచ్లను సృష్టించడానికి మిమ్మల్ని అనుమతిస్తుంది, ఇది మాస్ హోస్టింగ్ సిస్టమ్లలో ఉపయోగించడానికి అనుకూలమైనది, ఇక్కడ అన్ని వినియోగదారు అప్లికేషన్లను తాజాగా ఉంచడం అసాధ్యం. మాడ్యూల్ Cలో వ్రాయబడింది, భాగస్వామ్య లైబ్రరీ రూపంలో కనెక్ట్ చేయబడింది (php.iniలో “extension=snuffleupagus.so”) మరియు ద్వారా పంపిణీ చేయబడింది LGPL 3.0 కింద లైసెన్స్ పొందింది.
Snuffleupagus భద్రతను మెరుగుపరచడానికి ప్రామాణిక టెంప్లేట్లను ఉపయోగించడానికి లేదా ఇన్పుట్ డేటా మరియు ఫంక్షన్ పారామితులను నియంత్రించడానికి మీ స్వంత నియమాలను రూపొందించడానికి మిమ్మల్ని అనుమతించే నియమాల వ్యవస్థను అందిస్తుంది. ఉదాహరణకు, నియమం “sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” అప్లికేషన్ను మార్చకుండా సిస్టమ్() ఫంక్షన్ ఆర్గ్యుమెంట్లలో ప్రత్యేక అక్షరాల వినియోగాన్ని పరిమితం చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. అదేవిధంగా, మీరు సృష్టించవచ్చు వర్చువల్ పాచెస్ తెలిసిన దుర్బలత్వాలను నిరోధించడానికి.
డెవలపర్లు నిర్వహించిన పరీక్షల ద్వారా నిర్ణయించడం, Snuffleupagus అరుదుగా పనితీరును తగ్గిస్తుంది. దాని స్వంత భద్రతను నిర్ధారించడానికి (భద్రతా లేయర్లో సాధ్యమయ్యే దుర్బలత్వాలు దాడులకు అదనపు వెక్టర్గా ఉపయోగపడతాయి), ప్రాజెక్ట్ వివిధ పంపిణీలలో ప్రతి కమిట్ను క్షుణ్ణంగా పరీక్షిస్తుంది, స్టాటిక్ అనాలిసిస్ సిస్టమ్లను ఉపయోగిస్తుంది మరియు ఆడిటింగ్ను సరళీకృతం చేయడానికి కోడ్ ఫార్మాట్ చేయబడుతుంది మరియు డాక్యుమెంట్ చేయబడుతుంది.
సమస్యలు వంటి దుర్బలత్వాల తరగతులను నిరోధించడానికి అంతర్నిర్మిత పద్ధతులు అందించబడ్డాయి, సంబంధించిన డేటా సీరియలైజేషన్తో, అసురక్షిత PHP మెయిల్() ఫంక్షన్ని ఉపయోగించడం, XSS దాడుల సమయంలో కుకీ కంటెంట్ల లీకేజీ, ఎక్జిక్యూటబుల్ కోడ్తో ఫైల్లను లోడ్ చేయడం వల్ల సమస్యలు (ఉదాహరణకు, ఫార్మాట్లో phar), పేద నాణ్యత యాదృచ్ఛిక సంఖ్య ఉత్పత్తి మరియు ప్రత్యామ్నాయం సరికాని XML నిర్మాణాలు.
PHP భద్రతను మెరుగుపరచడానికి క్రింది మోడ్లకు మద్దతు ఉంది:
కుక్కీల కోసం "సురక్షిత" మరియు "సమేసైట్" (CSRF రక్షణ) ఫ్లాగ్లను స్వయంచాలకంగా ప్రారంభించండి, ఎన్క్రిప్షన్ కుకీ;
దాడుల జాడలను గుర్తించడానికి మరియు అప్లికేషన్ల రాజీకి అంతర్నిర్మిత నియమాల సెట్;
బలవంతంగా గ్లోబల్ యాక్టివేషన్ "కఠినంగా" (ఉదాహరణకు, పూర్ణాంక విలువను ఆర్గ్యుమెంట్గా ఆశించేటప్పుడు స్ట్రింగ్ను పేర్కొనే ప్రయత్నాన్ని బ్లాక్ చేస్తుంది) మరియు రక్షణ రకం తారుమారు;
డిఫాల్ట్గా నిరోధించడం ప్రోటోకాల్ రేపర్లు (ఉదాహరణకు, "phar://"ని నిషేధించడం) వారి స్పష్టమైన వైట్లిస్టింగ్తో;
వ్రాయదగిన ఫైల్లను అమలు చేయడంపై నిషేధం;
ఎవాల్ కోసం నలుపు మరియు తెలుపు జాబితాలు;
ఉపయోగిస్తున్నప్పుడు TLS ప్రమాణపత్రం తనిఖీని ప్రారంభించడం అవసరం
కర్ల్;
అసలైన అప్లికేషన్ ద్వారా నిల్వ చేయబడిన డేటాను డీరియలైజేషన్ తిరిగి పొందుతుందని నిర్ధారించడానికి సీరియలైజ్ చేయబడిన వస్తువులకు HMACని జోడించడం;
లాగింగ్ మోడ్ను అభ్యర్థించండి;
XML డాక్యుమెంట్లలోని లింక్ల ద్వారా libxmlలో బాహ్య ఫైల్లను లోడ్ చేయడాన్ని నిరోధించడం;
అప్లోడ్ చేసిన ఫైల్లను తనిఖీ చేయడానికి మరియు స్కాన్ చేయడానికి బాహ్య హ్యాండ్లర్లను కనెక్ట్ చేసే సామర్థ్యం (upload_validation);
ప్రాజెక్ట్ సృష్టించబడింది మరియు పెద్ద ఫ్రెంచ్ హోస్టింగ్ ఆపరేటర్లలో ఒకదాని మౌలిక సదుపాయాలలో వినియోగదారులను రక్షించడానికి ఉపయోగించబడింది. ఇది గుర్తించబడిందిSnuffleupagusని కనెక్ట్ చేయడం వలన ఈ సంవత్సరం Drupal, WordPress మరియు phpBBలలో గుర్తించబడిన అనేక ప్రమాదకరమైన దుర్బలత్వాల నుండి రక్షించబడుతుంది. మోడ్ను ప్రారంభించడం ద్వారా Magento మరియు Hordeలోని దుర్బలత్వాలను నిరోధించవచ్చు
"sp.readonly_exec.enable()".