ፕሮሆስተር > ጦማር > የኢንተርኔት ዜና > የ Snuffleupagus ፕሮጀክት ተጋላጭነትን ለመግታት የPHP ሞጁል በማዘጋጀት ላይ ነው።

የ Snuffleupagus ፕሮጀክት ተጋላጭነትን ለመግታት የPHP ሞጁል በማዘጋጀት ላይ ነው።

በፕሮጀክቱ ወሰን ውስጥ snuffleupagus እያደገ ነው модуль для подключения к интерпретатору PHP7, предназначенный для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать виртуальные патчи для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Модуль написан на языке Си, подключается в форме разделяемой библиотеки («extension=snuffleupagus.so» в php.ini) и የተሰራጨው በ በLGPL 3.0 ፍቃድ የተሰጠው።

Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля входных данных и параметров функций. Например, правило «sp.disable_function.function(«system»).param(«command»).value_r(«[$|;&`\\n]»).drop();» позволяет не изменяя приложения ограничить использование спецсимволов в аргументах функции system(). Аналогично можно создавать ምናባዊ ጥገናዎች для блокирования известных уязвимостей.

Судя по проведённым разработчиками тестам Snuffleupagus почти не снижает производительность. Для обеспечения собственной безопасности (возможные уязвимости в прослойке для защиты могут служить дополнительным вектором для атак) в проекте применяется доскональное тестирование каждого коммита в разных дистрибутивах, используются системы статического анализа, код оформляется и документируется для упрощения проведения аудита.

Предоставляются встроенные методы для блокирования таких классов уязвимоcтей, как проблемы, ተዛማጅ በመረጃ ተከታታይነት ፣ ደህንነቱ ያልተጠበቀ የPHP ሜይል() ተግባርን መጠቀም፣ በXSS ጥቃቶች ወቅት የኩኪ ይዘቶች መፍሰስ፣ ፋይሎችን በሚተገበር ኮድ በመጫን ምክንያት ችግሮች (ለምሳሌ ፣ በቅርጸት) ፋር), ደካማ ጥራት ያለው የዘፈቀደ ቁጥር ማመንጨት እና መተካት የተሳሳተ የኤክስኤምኤል ግንባታዎች።

Из режимов для повышения защиты PHP поддерживаются:

  • ለኩኪዎች "ደህንነቱ የተጠበቀ" እና "ሳምስቴት" (CSRF ጥበቃ) ባንዲራዎችን በራስ-ሰር አንቃ፣ ምስጠራ ኩኪ;
  • የጥቃቶችን እና የመተግበሪያዎችን ስምምነትን ለመለየት አብሮ የተሰራ የሕጎች ስብስብ;
  • የግዳጅ ዓለም አቀፍ ማግበር "ጥብቅ"(ለምሳሌ የኢንቲጀር ዋጋ እንደ ነጋሪ እሴት ሲጠብቅ ሕብረቁምፊን የመግለጽ ሙከራን ይከለክላል) እና ከለላ አይነት ማጭበርበር;
  • በነባሪ ማገድ የፕሮቶኮል መጠቅለያዎች (ለምሳሌ "phar://"ን መከልከል) በግልፅ የተፈቀደላቸው ዝርዝር ውስጥ;
  • ሊፃፉ የሚችሉ ፋይሎችን መፈጸምን መከልከል;
  • ጥቁር እና ነጭ ዝርዝሮች ለኤቫል;
  • ሲጠቀሙ የTLS የምስክር ወረቀት ማረጋገጥን ለማንቃት ያስፈልጋል
    ማጠፍ;

  • ዲሴሪያላይዜሽን በዋናው መተግበሪያ የተከማቸ መረጃን ሰርስሮ መውጣቱን ለማረጋገጥ HMACን ወደ ተከታታይ ነገሮች ማከል።
  • የመግቢያ ሁነታን ይጠይቁ;
  • በ libxml ውስጥ የውጭ ፋይሎችን በኤክስኤምኤል ሰነዶች ውስጥ ባሉ አገናኞች መጫንን ማገድ;
  • የተጫኑ ፋይሎችን ለመፈተሽ እና ለመፈተሽ የውጭ ተቆጣጣሪዎችን የማገናኘት ችሎታ (አፕሎድ_ቫሊዲሽን);

Проект создан и используется для защиты пользователей в инфраструктуре одного из крупных французских операторов хостинга. ይጠቀሳል, что просто подключение Snuffleupagus позволило бы защититься от многих опасных уязвимостей, выявленных в этом году в Drupal, WordPress и phpBB. Уязвимости в Magento и Horde могли бы быть блокированы включением режима
«sp.readonly_exec.enable()».

ምንጭ: opennet.ru

አስተያየት ያክሉ