پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > Snuffleupagus پروجیکٹ کمزوریوں کو روکنے کے لیے ایک PHP ماڈیول تیار کر رہا ہے۔

Snuffleupagus پروجیکٹ کمزوریوں کو روکنے کے لیے ایک PHP ماڈیول تیار کر رہا ہے۔

منصوبے کی حدود میں سنفلوپیگس ترقی کر رہا ہے PHP7 انٹرپریٹر سے جڑنے کے لیے ایک ماڈیول، جو ماحول کی حفاظت کو بہتر بنانے اور عام غلطیوں کو روکنے کے لیے ڈیزائن کیا گیا ہے جو PHP ایپلی کیشنز کو چلانے میں کمزوریوں کا باعث بنتے ہیں۔ ماڈیول آپ کو کمزور ایپلیکیشن کے سورس کوڈ کو تبدیل کیے بغیر مخصوص مسائل کو حل کرنے کے لیے ورچوئل پیچ بنانے کی بھی اجازت دیتا ہے، جو بڑے پیمانے پر ہوسٹنگ سسٹمز میں استعمال کے لیے آسان ہے جہاں صارف کی تمام ایپلیکیشنز کو اپ ٹو ڈیٹ رکھنا ناممکن ہے۔ ماڈیول C میں لکھا ہوا ہے، مشترکہ لائبریری کی شکل میں جڑا ہوا ہے (php.ini میں "extension=snuffleupagus.so") اور نے بانٹا LGPL 3.0 کے تحت لائسنس یافتہ۔

Snuffleupagus ایک قواعد کا نظام فراہم کرتا ہے جو آپ کو سیکورٹی کو بہتر بنانے کے لیے معیاری ٹیمپلیٹس استعمال کرنے، یا ان پٹ ڈیٹا اور فنکشن کے پیرامیٹرز کو کنٹرول کرنے کے لیے اپنے قوانین بنانے کی اجازت دیتا ہے۔ مثال کے طور پر، اصول "sp.disable_function.function("system").param("command").value_r("[$|;&`\\n]").drop();" آپ کو ایپلی کیشن کو تبدیل کیے بغیر system() فنکشن آرگیومینٹس میں خصوصی حروف کے استعمال کو محدود کرنے کی اجازت دیتا ہے۔ اسی طرح، آپ تشکیل دے سکتے ہیں مجازی پیچ معلوم کمزوریوں کو روکنے کے لیے۔

ڈویلپرز کے ذریعہ کئے گئے ٹیسٹوں کو دیکھتے ہوئے، Snuffleupagus شاید ہی کارکردگی کو کم کرتا ہے۔ اس کی اپنی حفاظت کو یقینی بنانے کے لیے (سیکیورٹی پرت میں ممکنہ کمزوریاں حملوں کے لیے ایک اضافی ویکٹر کے طور پر کام کر سکتی ہیں)، پروجیکٹ مختلف تقسیموں میں ہر کمٹ کی مکمل جانچ کا استعمال کرتا ہے، جامد تجزیہ کے نظام کا استعمال کرتا ہے، اور آڈیٹنگ کو آسان بنانے کے لیے کوڈ کو فارمیٹ اور دستاویز کیا جاتا ہے۔

کمزوریوں کی کلاسوں کو روکنے کے لیے بلٹ ان طریقے فراہم کیے جاتے ہیں جیسے مسائل، متعلقہ ڈیٹا سیریلائزیشن کے ساتھ، غیر محفوظ پی ایچ پی میل () فنکشن کا استعمال، ایکس ایس ایس حملوں کے دوران کوکی کے مواد کا لیک ہونا، ایگزیکیوٹیبل کوڈ کے ساتھ فائلوں کو لوڈ کرنے کی وجہ سے مسائل (مثال کے طور پر، فارمیٹ میں phar)، ناقص معیار کا بے ترتیب نمبر جنریشن اور متبادل غلط XML تعمیرات۔

پی ایچ پی سیکیورٹی کو بڑھانے کے لیے درج ذیل طریقوں کی حمایت کی جاتی ہے۔

  • کوکیز کے لیے خود بخود "محفوظ" اور "سیم سائٹ" (CSRF تحفظ) جھنڈوں کو فعال کریں، خفیہ کاری کوکی
  • حملوں کے نشانات اور ایپلی کیشنز کے سمجھوتہ کی نشاندہی کرنے کے لیے بلٹ ان قوانین کا سیٹ؛
  • کی زبردستی عالمی سرگرمی "سخت" (مثال کے طور پر، دلیل کے طور پر عددی قدر کی توقع کرتے وقت سٹرنگ کی وضاحت کرنے کی کوشش کو روکتا ہے) اور اس کے خلاف تحفظ قسم کی ہیرا پھیری;
  • بطور ڈیفالٹ بلاک کرنا پروٹوکول ریپرز (مثال کے طور پر، "phar://" پر پابندی) ان کی واضح وائٹ لسٹنگ کے ساتھ؛
  • قابل تحریر فائلوں پر عمل درآمد پر پابندی؛
  • eval کے لیے سیاہ اور سفید فہرستیں؛
  • استعمال کرتے وقت TLS سرٹیفکیٹ کی جانچ کو فعال کرنے کی ضرورت ہے۔
    curl

  • HMAC کو سیریلائزڈ اشیاء میں شامل کرنا اس بات کو یقینی بنانے کے لیے کہ ڈی سیریلائزیشن اصل ایپلی کیشن کے ذریعے ذخیرہ کردہ ڈیٹا کو بازیافت کرتی ہے۔
  • لاگنگ موڈ کی درخواست کریں؛
  • XML دستاویزات میں لنکس کے ذریعے libxml میں بیرونی فائلوں کی لوڈنگ کو روکنا؛
  • اپ لوڈ کردہ فائلوں کو چیک کرنے اور اسکین کرنے کے لیے بیرونی ہینڈلرز (upload_validation) کو جوڑنے کی اہلیت؛

اس پروجیکٹ کو فرانسیسی ہوسٹنگ آپریٹرز میں سے ایک کے بنیادی ڈھانچے میں صارفین کی حفاظت کے لیے بنایا گیا اور استعمال کیا گیا۔ یہ نوٹ کیا جاتا ہےکہ Snuffleupagus کو صرف جوڑنے سے ڈروپل، ورڈپریس اور phpBB میں اس سال شناخت کی گئی بہت سی خطرناک کمزوریوں سے حفاظت ہوگی۔ موڈ کو فعال کرکے Magento اور Horde میں کمزوریوں کو روکا جا سکتا ہے۔
"sp.readonly_exec.enable()"۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں