Lẹhin ọdun kan ti idagbasoke idasilẹ ise agbese , eyi ti o pese module kan fun olutumọ PHP7 lati mu aabo ti ayika dara sii ati ki o dènà awọn aṣiṣe ti o wọpọ ti o yorisi awọn ailagbara ni ṣiṣe awọn ohun elo PHP. Awọn module tun faye gba o lati ṣẹda lati yọkuro awọn iṣoro kan pato laisi iyipada koodu orisun ti ohun elo ti o ni ipalara, eyiti o rọrun fun lilo ninu awọn ọna ṣiṣe alejo gbigba ibi ti ko ṣee ṣe lati tọju gbogbo awọn ohun elo olumulo titi di oni. Awọn idiyele ti o ga julọ ti module ni ifoju pe o kere julọ. A kọ module naa ni C, ti sopọ ni irisi ile-ikawe ti o pin (“itẹsiwaju=snuffleupagus.so” ni php.ini) ati iwe-aṣẹ labẹ LGPL 3.0.
Snuffleupagus n pese eto awọn ofin ti o fun ọ laaye lati lo awọn awoṣe boṣewa lati mu aabo dara sii, tabi ṣẹda awọn ofin tirẹ lati ṣakoso data titẹ sii ati awọn aye iṣẹ. Fun apẹẹrẹ, awọn ofin "sp.disable_function.function ("eto").param ("aṣẹ").value_r ("[$|; & `\n]") silẹ ();" gba ọ laaye lati ṣe idinwo lilo awọn ohun kikọ pataki ni awọn ariyanjiyan iṣẹ () laisi iyipada ohun elo. Awọn ọna ti a ṣe sinu ti pese lati dènà awọn kilasi ti awọn ailagbara gẹgẹbi awọn ọran, pẹlu serialization data, lilo iṣẹ meeli PHP (), jijo ti awọn akoonu kuki lakoko awọn ikọlu XSS, awọn iṣoro nitori ikojọpọ awọn faili pẹlu koodu ṣiṣe (fun apẹẹrẹ, ni ọna kika ), ko dara didara ID nọmba iran ati awọn itumọ XML ti ko tọ.
Awọn ipo imudara aabo PHP ti a pese nipasẹ Snuffleupagus:
- Muu awọn asia “ni aabo” ati “samesite” (Aabo CSRF) ṣiṣẹ ni aladaaṣe fun Awọn kuki, Kukisi;
- Eto ti a ṣe sinu awọn ofin lati ṣe idanimọ awọn itọpa ti awọn ikọlu ati adehun awọn ohun elo;
- Fi agbara mu ṣiṣẹ agbaye ti ""(fun apẹẹrẹ, ṣe idiwọ igbiyanju lati pato okun kan nigbati o n reti iye odidi bi ariyanjiyan) ati aabo lodi si ;
- Idilọwọ aiyipada (fun apẹẹrẹ, ti fi ofin de "phar: //") pẹlu kikọ funfun wọn ti o fojuhan;
- Idinamọ lori ṣiṣe awọn faili ti o jẹ kikọ;
- Dudu ati funfun awọn akojọ fun eval;
- Ti beere fun ṣiṣe ayẹwo ijẹrisi TLS nigba lilo
iṣupọ; - Ṣafikun HMAC si awọn nkan serialized lati rii daju pe deserialization gba data ti o fipamọ nipasẹ ohun elo atilẹba;
- Beere ipo gedu;
- Idilọwọ ikojọpọ awọn faili ita ni libxml nipasẹ awọn ọna asopọ ni awọn iwe XML;
- Agbara lati sopọ awọn olutọju ita (upload_validation) lati ṣayẹwo ati ṣayẹwo awọn faili ti a gbejade;
Lara awọn Ninu itusilẹ tuntun: Imudara atilẹyin fun PHP 7.4 ati imuse ibamu pẹlu ẹka PHP 8 lọwọlọwọ ni idagbasoke Fikun agbara lati wọle si awọn iṣẹlẹ nipasẹ syslog (itọnisọna sp.log_media ti wa ni idamọran fun ifisi, eyiti o le gba awọn iye php tabi syslog). Eto aiyipada ti awọn ofin ti ni imudojuiwọn lati pẹlu awọn ofin titun fun awọn ailagbara ti a mọ laipẹ ati awọn ilana ikọlu lodi si awọn ohun elo wẹẹbu. Atilẹyin ilọsiwaju fun macOS ati lilo gbooro ti iru ẹrọ isọpọ igbagbogbo ti o da lori GitLab.
orisun: opennet.ru