Snuffleupagus, oo ah qayb aad u fiican oo lagu xakameeyo u nuglaanta barnaamijyada PHP

Darkcrizt

Daqiiqado 4

Haddii aad tahay horumariyaha webka, laga yaabee qodobkaan inuu xiiso kuu yeelan doono maaddaama dhexdeeda aan wax yar ka hadlayno mashruuca snuffleupagus, taas oo waxay siisaa module tarjumaha PHP si loo kordhiyo amniga deegaanka oo xannibi khaladaadka caadiga ah ee u horseeda nuglaanta fulinta barnaamijyada PHP.

Qaybtan Waxaa loogu talagalay qaab aad u xiiso badan, tan iyo markii si baaxad leh ayey u kordhisaa shaqada maxaa la gudboon si aad ugu guuleysato weerarada ka dhanka ah boggaga internetka, iyadoo laga saarayo dhammaan fasalada qaladka. Sidoo kale waxay bixisaa nidaam balastar dalwaddii awood badan, taas oo u oggolaanaysa maamulaha inuu hagaajiyo nuglaanta gaarka ah iyo inuu la xisaabtamo dabeecadaha laga shakiyo isagoon taaban lambarka PHP.

Ku saabsan Snuffleupagus

snuffleupagus waxaa lagu gartaa waxay bixisaa nidaam xeerar kaas oo u oggolaanaya in la isticmaalo labadaba sheybaarada caadiga ah si loo kordhiyo ilaalinta loona abuuro sharciyo kuu gaar ah si loo xakameeyo xogta la gelinayo iyo xuduudaha shaqada.

Sidoo kale, waxay bixisaa habab loo dhisay si loo joojiyo fasalada nuglaanta sida dhibaatooyinka la xiriira taxadarka xogta, adeegsiga amni darada ah ee howlaha PHP mail (), luminta waxyaabaha buskudka inta lagu jiro weerarada XSS, dhibaatooyinka ay sabab u tahay soo degsashada feylasha leh koodhka la fulin karo (tusaale ahaan, qaabka phar), Beddelka dhismayaasha XML aan sax ahayn.

Module-ka ayaa waliba kuu oggolaanaya kuu ogolaanayaa inaad si ay u abuuraan balastar dalwaddii maamulaha shabakada si loo xaliyo dhibaatooyinka gaarka ah iyadoon la badalin koodhka ilaha dalabka nugul, taas oo ku habboon in loo isticmaalo nidaamyada martigelinta ballaaran halkaasoo aysan macquul ahayn in lagu hayo dhammaan codsiyada isticmaaleyaasha casriga ah.

Kharashyada guud ee kheyraadka ka soo baxa howlgalka moduleka ayaa lagu qiyaasaa ugu yaraan. Qaybtu waxay ku qoran tahay luqadda C, wuxuu kuxiranyahay qaab maktabad wadaag ah faylka "php.ini".

Fursadaha amniga ee ay bixiso Snuffleupagus, kuwa soo socda ayaa taagan:

  • Iskudarka otomaatiga ah ee calamada "nabdoon" iyo "samesite" (kahortaga CSRF) ee loogu talagalay cookies, sirta cookie.
  • Xeerar la dhisay oo lagu aqoonsado raadadka weerarada iyo wax u dhimaya codsiyada.
  • Ku qasbid ka mid noqoshada caalamiga ah ee qaabka adag ee "adag" taas oo tusaale ahaan xannibaya isku dayga lagu qeexayo xarig inta la sugayo qiimaha isku dhafan ee doodaha iyo kahortaga wax is daba marinta.
  • Xayiraadda ugu dambeysa ee ku duuban borotokoolka (tusaale ahaan, "mamnuuca" phar: // ") oo aad ku haysato rukhsad cad oo aad ka heli karto liiska shaqalka.
  • Mamnuucida fulinta faylasha laqoro.
  • Liisaska madow iyo caddaan ee eval.
  • Awoodsiinta ansaxinta qasabka ah ee shahaadada TLS markaad isticmaaleyso curl.
  • Ku dar HMAC walxaha taxanaha ah si aad u hubiso in u quudhaynta ay soo ceshano xogta ku kaydsan arjiga asalka ah.
  • Codso qaabka diiwaangelinta.
  • Xayiraadda rarka faylasha dibedda ee libxml adoo adeegsanaya iskuxirayaasha dukumintiyada XML.
  • Awood u lahaanshaha isku xirka darawalada banaanka (upload_validation) si loo xaqiijiyo loona baaro feylasha la soo dejiyey.
  • Meel mari shahaada TLS marka aad isticmaaleyso curl
  • Codso awooda soo dejinta
  • Saldhig koodh caafimaad ahaan xadidan
  • Xirmo tijaabo oo dhameystiran oo ku dhow 100% caymis
  • Ballan kasta waxaa lagu tijaabiyaa qaybinta badan

Macluumaad dheeri ah

Waqtigan xaadirka ah qaybtani waxay ku jirtaa qaybteeda 0.5.1 waxaana dhexdeeda taagan a taageero fiican ee PHP 7.4 lana hirgeliyey iswaafajinta laanta PHP 8 (oo hadda socota).

Taas ka sokow xeerka aasaasiga ah ayaa la cusbooneysiiyay iyo maxaa xeerar cusub ayaa lagu daray u nuglaanta cusub ee la ogaaday iyo farsamooyinka lagu weerarayo barnaamijyada shabakadda.

Sidee loo rakibaa Snuffleupagus Linux?

Finalmente kuwa danaynaya inay awoodaan inay tijaabiyaan qaybtaan imtixaanada qarsoon ee codsiyadaada si loo wanaajiyo ammaankooda ama loo kordhiyo amniga codsiyadaada.

Waxa ay tahay inay sameeyaan waa inay aadaan bogga rasmiga ah ee moduleka iyo qaybtaada soo dejintaada Waxaad awoodi doontaa inaad ka hesho tilmaamaha qaar ka mid ah noocyada kala duwan ee Linux, isku xirku waa kan.

In kastoo, waxay sidoo kale dooran karaan inay ku rakibaan koodhka ilaha, tan awgeed waxay raaci karaan tilmaamaha faahfaahiyay xiriirkan.

Ugu dambeyntii laakiin ugu yaraan, haddii aad rabto inaad wax badan ka ogaato, akhri dukumiintiyada ama aad hesho lambarka ilaha ee dib u eegista, waad sameyn kartaa sidaas. laga soo xigtay.


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Ka mas'uul ah xogta: AB Internet Networks 2008 SL
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.