ప్రోహోస్టర్ > బ్లాగ్ > ఇంటర్నెట్ వార్తలు > Snuffleupagus 0.5.1 విడుదల, PHP అప్లికేషన్‌లలో దుర్బలత్వాలను నిరోధించే మాడ్యూల్

Snuffleupagus 0.5.1 విడుదల, PHP అప్లికేషన్‌లలో దుర్బలత్వాలను నిరోధించే మాడ్యూల్

ఒక సంవత్సరం అభివృద్ధి తర్వాత ప్రచురించిన ప్రాజెక్ట్ విడుదల Snuffleupagus 0.5.1, ఇది పర్యావరణం యొక్క భద్రతను మెరుగుపరచడానికి మరియు PHP అప్లికేషన్‌లను అమలు చేయడంలో దుర్బలత్వాలకు దారితీసే సాధారణ లోపాలను నిరోధించడానికి PHP7 ఇంటర్‌ప్రెటర్‌కు మాడ్యూల్‌ను అందిస్తుంది. మాడ్యూల్ కూడా మీరు సృష్టించడానికి అనుమతిస్తుంది వర్చువల్ పాచెస్ హాని కలిగించే అప్లికేషన్ యొక్క సోర్స్ కోడ్‌ను మార్చకుండా నిర్దిష్ట సమస్యలను తొలగించడానికి, ఇది మాస్ హోస్టింగ్ సిస్టమ్‌లలో ఉపయోగించడానికి సౌకర్యంగా ఉంటుంది, ఇక్కడ అన్ని వినియోగదారు అప్లికేషన్‌లను తాజాగా ఉంచడం అసాధ్యం. మాడ్యూల్ యొక్క ఓవర్ హెడ్ ఖర్చులు కనిష్టంగా అంచనా వేయబడ్డాయి. మాడ్యూల్ Cలో వ్రాయబడింది, భాగస్వామ్య లైబ్రరీ రూపంలో కనెక్ట్ చేయబడింది (php.iniలో “extension=snuffleupagus.so”) మరియు ద్వారా పంపిణీ చేయబడింది LGPL 3.0 కింద లైసెన్స్ పొందింది.

Snuffleupagus భద్రతను మెరుగుపరచడానికి ప్రామాణిక టెంప్లేట్‌లను ఉపయోగించడానికి లేదా ఇన్‌పుట్ డేటా మరియు ఫంక్షన్ పారామితులను నియంత్రించడానికి మీ స్వంత నియమాలను రూపొందించడానికి మిమ్మల్ని అనుమతించే నియమాల వ్యవస్థను అందిస్తుంది. ఉదాహరణకు, నియమం “sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” అప్లికేషన్‌ను మార్చకుండా సిస్టమ్() ఫంక్షన్ ఆర్గ్యుమెంట్‌లలో ప్రత్యేక అక్షరాల వినియోగాన్ని పరిమితం చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. సమస్యలు వంటి దుర్బలత్వాల తరగతులను నిరోధించడానికి అంతర్నిర్మిత పద్ధతులు అందించబడ్డాయి, సంబంధించిన డేటా సీరియలైజేషన్‌తో, అసురక్షిత PHP మెయిల్() ఫంక్షన్‌ని ఉపయోగించడం, XSS దాడుల సమయంలో కుకీ కంటెంట్‌ల లీకేజీ, ఎక్జిక్యూటబుల్ కోడ్‌తో ఫైల్‌లను లోడ్ చేయడం వల్ల సమస్యలు (ఉదాహరణకు, ఫార్మాట్‌లో phar), పేద నాణ్యత యాదృచ్ఛిక సంఖ్య ఉత్పత్తి మరియు ప్రత్యామ్నాయం సరికాని XML నిర్మాణాలు.

Snuffleupagus అందించిన PHP భద్రతా మెరుగుదల మోడ్‌లు:

  • కుక్కీల కోసం "సురక్షిత" మరియు "సమేసైట్" (CSRF రక్షణ) ఫ్లాగ్‌లను స్వయంచాలకంగా ప్రారంభించండి, ఎన్క్రిప్షన్ కుకీ;
  • దాడుల జాడలను గుర్తించడానికి మరియు అప్లికేషన్‌ల రాజీకి అంతర్నిర్మిత నియమాల సెట్;
  • బలవంతంగా గ్లోబల్ యాక్టివేషన్ "కఠినంగా" (ఉదాహరణకు, పూర్ణాంక విలువను ఆర్గ్యుమెంట్‌గా ఆశించేటప్పుడు స్ట్రింగ్‌ను పేర్కొనే ప్రయత్నాన్ని బ్లాక్ చేస్తుంది) మరియు రక్షణ రకం తారుమారు;
  • డిఫాల్ట్‌గా నిరోధించడం ప్రోటోకాల్ రేపర్లు (ఉదాహరణకు, "phar://"ని నిషేధించడం) వారి స్పష్టమైన వైట్‌లిస్టింగ్‌తో;
  • వ్రాయదగిన ఫైల్‌లను అమలు చేయడంపై నిషేధం;
  • ఎవాల్ కోసం నలుపు మరియు తెలుపు జాబితాలు;
  • ఉపయోగిస్తున్నప్పుడు TLS ప్రమాణపత్రం తనిఖీని ప్రారంభించడం అవసరం
    కర్ల్;
  • అసలైన అప్లికేషన్ ద్వారా నిల్వ చేయబడిన డేటాను డీరియలైజేషన్ తిరిగి పొందుతుందని నిర్ధారించడానికి సీరియలైజ్ చేయబడిన వస్తువులకు HMACని జోడించడం;
  • లాగింగ్ మోడ్‌ను అభ్యర్థించండి;
  • XML డాక్యుమెంట్‌లలోని లింక్‌ల ద్వారా libxmlలో బాహ్య ఫైల్‌లను లోడ్ చేయడాన్ని నిరోధించడం;
  • అప్‌లోడ్ చేసిన ఫైల్‌లను తనిఖీ చేయడానికి మరియు స్కాన్ చేయడానికి బాహ్య హ్యాండ్లర్‌లను కనెక్ట్ చేసే సామర్థ్యం (upload_validation);

మధ్యలో మార్పులు కొత్త విడుదలలో: PHP 7.4కు మెరుగైన మద్దతు మరియు ప్రస్తుతం అభివృద్ధిలో ఉన్న PHP 8 బ్రాంచ్‌తో అనుకూలత అమలు చేయబడింది. syslog ద్వారా ఈవెంట్‌లను లాగ్ చేసే సామర్థ్యాన్ని జోడించారు (sp.log_media డైరెక్టివ్ చేర్చడం కోసం ప్రతిపాదించబడింది, ఇది php లేదా syslog విలువలను తీసుకోవచ్చు). ఇటీవల గుర్తించబడిన దుర్బలత్వాలు మరియు వెబ్ అప్లికేషన్‌లకు వ్యతిరేకంగా దాడి చేసే పద్ధతుల కోసం కొత్త నియమాలను చేర్చడానికి డిఫాల్ట్ నియమాల సెట్ అప్‌డేట్ చేయబడింది. MacOS కోసం మెరుగైన మద్దతు మరియు GitLab ఆధారంగా నిరంతర ఇంటిగ్రేషన్ ప్లాట్‌ఫారమ్ యొక్క విస్తృత వినియోగం.

మూలం: opennet.ru

ఒక వ్యాఖ్యను జోడించండి