پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > Snuffleupagus 0.5.1 کی ریلیز، PHP ایپلی کیشنز میں کمزوریوں کو روکنے کے لیے ایک ماڈیول

Snuffleupagus 0.5.1 کی ریلیز، PHP ایپلی کیشنز میں کمزوریوں کو روکنے کے لیے ایک ماڈیول

ترقی کے ایک سال بعد شائع منصوبے کی رہائی Snuffleupagus 0.5.1جو کہ PHP7 ترجمان کے لیے ایک ماڈیول فراہم کرتا ہے تاکہ ماحول کی حفاظت کو بہتر بنایا جا سکے اور عام غلطیوں کو روکا جا سکے جو PHP ایپلی کیشنز کو چلانے میں کمزوریوں کا باعث بنتے ہیں۔ ماڈیول آپ کو تخلیق کرنے کی بھی اجازت دیتا ہے۔ مجازی پیچ کمزور ایپلیکیشن کے سورس کوڈ کو تبدیل کیے بغیر مخصوص مسائل کو ختم کرنے کے لیے، جو بڑے پیمانے پر ہوسٹنگ سسٹمز میں استعمال کے لیے آسان ہے جہاں صارف کی تمام ایپلیکیشنز کو اپ ٹو ڈیٹ رکھنا ناممکن ہے۔ ماڈیول کے اوور ہیڈ اخراجات کا تخمینہ کم سے کم ہے۔ ماڈیول C میں لکھا ہوا ہے، مشترکہ لائبریری کی شکل میں منسلک ہے (php.ini میں "extension=snuffleupagus.so") اور نے بانٹا LGPL 3.0 کے تحت لائسنس یافتہ۔

Snuffleupagus ایک قواعد کا نظام فراہم کرتا ہے جو آپ کو سیکیورٹی کو بہتر بنانے کے لیے معیاری ٹیمپلیٹس استعمال کرنے کی اجازت دیتا ہے، یا ان پٹ ڈیٹا اور فنکشن کے پیرامیٹرز کو کنٹرول کرنے کے لیے اپنے قواعد خود بناتا ہے۔ مثال کے طور پر، اصول "sp.disable_function.function("system").param("command").value_r("[$|;&`\\n]").drop();" آپ کو ایپلی کیشن کو تبدیل کیے بغیر system() فنکشن آرگیومینٹس میں خصوصی حروف کے استعمال کو محدود کرنے کی اجازت دیتا ہے۔ کمزوریوں کی کلاسوں کو روکنے کے لیے بلٹ ان طریقے فراہم کیے جاتے ہیں جیسے مسائل، متعلقہ ڈیٹا سیریلائزیشن کے ساتھ، غیر محفوظ پی ایچ پی میل () فنکشن کا استعمال، ایکس ایس ایس حملوں کے دوران کوکی کے مواد کا لیک ہونا، ایگزیکیوٹیبل کوڈ کے ساتھ فائلوں کو لوڈ کرنے کی وجہ سے مسائل (مثال کے طور پر، فارمیٹ میں phar)، ناقص معیار کا بے ترتیب نمبر جنریشن اور متبادل غلط XML تعمیرات۔

Snuffleupagus کے ذریعہ فراہم کردہ PHP سیکیورٹی بڑھانے کے طریقے:

  • کوکیز کے لیے خود بخود "محفوظ" اور "سیم سائٹ" (CSRF تحفظ) جھنڈوں کو فعال کریں، خفیہ کاری کوکی
  • حملوں کے نشانات اور ایپلی کیشنز کے سمجھوتہ کی نشاندہی کرنے کے لیے بلٹ ان قوانین کا سیٹ؛
  • کی زبردستی عالمی سرگرمی "سخت" (مثال کے طور پر، دلیل کے طور پر عددی قدر کی توقع کرتے وقت سٹرنگ کی وضاحت کرنے کی کوشش کو روکتا ہے) اور اس کے خلاف تحفظ قسم کی ہیرا پھیری;
  • بطور ڈیفالٹ بلاک کرنا پروٹوکول ریپرز (مثال کے طور پر، "phar://" پر پابندی) ان کی واضح وائٹ لسٹنگ کے ساتھ؛
  • قابل تحریر فائلوں پر عمل درآمد پر پابندی؛
  • eval کے لیے سیاہ اور سفید فہرستیں؛
  • استعمال کرتے وقت TLS سرٹیفکیٹ کی جانچ کو فعال کرنے کی ضرورت ہے۔
    curl
  • HMAC کو سیریلائزڈ اشیاء میں شامل کرنا اس بات کو یقینی بنانے کے لیے کہ ڈی سیریلائزیشن اصل ایپلی کیشن کے ذریعے ذخیرہ کردہ ڈیٹا کو بازیافت کرتی ہے۔
  • لاگنگ موڈ کی درخواست کریں؛
  • XML دستاویزات میں لنکس کے ذریعے libxml میں بیرونی فائلوں کی لوڈنگ کو روکنا؛
  • اپ لوڈ کردہ فائلوں کو چیک کرنے اور اسکین کرنے کے لیے بیرونی ہینڈلرز (upload_validation) کو جوڑنے کی اہلیت؛

کے علاوہ تبدیلیاں نئی ریلیز میں: PHP 7.4 کے لیے بہتر سپورٹ اور فی الحال ترقی میں PHP 8 برانچ کے ساتھ مطابقت کو لاگو کیا گیا۔ syslog کے ذریعے ایونٹس کو لاگ کرنے کی صلاحیت شامل کی گئی (sp.log_media ڈائریکٹیو شامل کرنے کے لیے تجویز کی گئی ہے، جو php یا syslog اقدار لے سکتی ہے)۔ قواعد کے پہلے سے طے شدہ سیٹ کو اپ ڈیٹ کیا گیا ہے تاکہ حال ہی میں شناخت شدہ خطرات اور ویب ایپلیکیشنز کے خلاف حملے کی تکنیکوں کے لیے نئے قواعد شامل ہوں۔ MacOS کے لیے بہتر سپورٹ اور GitLab پر مبنی مسلسل انٹیگریشن پلیٹ فارم کا وسیع استعمال۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں