ProHoster > Блог > ayelujara iroyin > Iṣẹ akanṣe Snuffleupagus n ṣe agbekalẹ module PHP kan fun didi awọn ailagbara

Iṣẹ akanṣe Snuffleupagus n ṣe agbekalẹ module PHP kan fun didi awọn ailagbara

Ni ise agbese ká aala snuffleupagus ndagba module kan fun sisopọ si olutumọ PHP7, ti a ṣe lati mu aabo ti agbegbe dara si ati dènà awọn aṣiṣe ti o wọpọ ti o yorisi awọn ailagbara ni ṣiṣe awọn ohun elo PHP. Module naa tun gba ọ laaye lati ṣẹda awọn abulẹ foju lati ṣatunṣe awọn iṣoro kan pato laisi iyipada koodu orisun ti ohun elo ti o ni ipalara, eyiti o rọrun fun lilo ninu awọn eto alejo gbigba pupọ nibiti ko ṣee ṣe lati tọju gbogbo awọn ohun elo olumulo titi di oni. A kọ module naa ni C, ti sopọ ni irisi ile-ikawe ti o pin (“itẹsiwaju=snuffleupagus.so” ni php.ini) ati pin nipasẹ iwe-aṣẹ labẹ LGPL 3.0.

Snuffleupagus n pese eto awọn ofin ti o fun ọ laaye lati lo awọn awoṣe boṣewa lati mu aabo dara sii, tabi ṣẹda awọn ofin tirẹ lati ṣakoso data titẹ sii ati awọn aye iṣẹ. Fun apẹẹrẹ, awọn ofin "sp.disable_function.function ("eto").param ("aṣẹ").value_r ("[$|; & `\n]") silẹ ();" gba ọ laaye lati ṣe idinwo lilo awọn ohun kikọ pataki ni awọn ariyanjiyan iṣẹ () laisi iyipada ohun elo. Bakanna, o le ṣẹda foju abulẹ lati dènà mọ vulnerabilities.

Ni idajọ nipasẹ awọn idanwo ti o ṣe nipasẹ awọn olupilẹṣẹ, Snuffleupagus ko dinku iṣẹ ṣiṣe. Lati rii daju aabo ti ara rẹ (awọn ailagbara ti o ṣeeṣe ni ipele aabo le ṣe iranṣẹ bi afikun fekito fun awọn ikọlu), iṣẹ akanṣe naa nlo idanwo pipe ti ṣiṣe kọọkan ni awọn ipinpinpin oriṣiriṣi, nlo awọn ọna ṣiṣe itupalẹ aimi, ati pe koodu ti ṣe akoonu ati ṣe akọsilẹ lati rọrun iṣatunṣe.

Awọn ọna ti a ṣe sinu ti pese lati dènà awọn kilasi ti awọn ailagbara gẹgẹbi awọn ọran, ti o ni ibatan pẹlu serialization data, lewu lilo iṣẹ meeli PHP (), jijo ti awọn akoonu kuki lakoko awọn ikọlu XSS, awọn iṣoro nitori ikojọpọ awọn faili pẹlu koodu ṣiṣe (fun apẹẹrẹ, ni ọna kika phar), ko dara didara ID nọmba iran ati aropo awọn itumọ XML ti ko tọ.

Awọn ipo atẹle yii ni atilẹyin lati mu aabo PHP pọ si:

  • Muu awọn asia “ni aabo” ati “samesite” (Aabo CSRF) ṣiṣẹ ni aladaaṣe fun Awọn kuki, ìsekóòdù Kukisi;
  • Eto ti a ṣe sinu awọn ofin lati ṣe idanimọ awọn itọpa ti awọn ikọlu ati adehun awọn ohun elo;
  • Fi agbara mu ṣiṣẹ agbaye ti "ti o muna"(fun apẹẹrẹ, ṣe idiwọ igbiyanju lati pato okun kan nigbati o n reti iye odidi bi ariyanjiyan) ati aabo lodi si iru ifọwọyi;
  • Idilọwọ aiyipada bèèrè wrappers (fun apẹẹrẹ, ti fi ofin de "phar: //") pẹlu kikọ funfun wọn ti o fojuhan;
  • Idinamọ lori ṣiṣe awọn faili ti o jẹ kikọ;
  • Dudu ati funfun awọn akojọ fun eval;
  • Ti beere fun ṣiṣe ayẹwo ijẹrisi TLS nigba lilo
    iṣupọ;

  • Ṣafikun HMAC si awọn nkan serialized lati rii daju pe deserialization gba data ti o fipamọ nipasẹ ohun elo atilẹba;
  • Beere ipo gedu;
  • Idilọwọ ikojọpọ awọn faili ita ni libxml nipasẹ awọn ọna asopọ ni awọn iwe XML;
  • Agbara lati sopọ awọn olutọju ita (upload_validation) lati ṣayẹwo ati ṣayẹwo awọn faili ti a gbejade;

A ṣẹda iṣẹ akanṣe ati lo lati daabobo awọn olumulo ni awọn amayederun ti ọkan ninu awọn oniṣẹ alejo gbigba Faranse nla. O ti ṣe akiyesiti o rọrun sisopọ Snuffleupagus yoo daabobo lodi si ọpọlọpọ awọn ailagbara ti o lewu ti a damọ ni ọdun yii ni Drupal, WordPress ati phpBB. Awọn ailagbara ni Magento ati Horde le dina nipasẹ mimu ipo naa ṣiṣẹ
"sp.readonly_exec.enable ()".

orisun: opennet.ru

Fi ọrọìwòye kun