ProHoster > بلوق > أخبار الإنترنت > إطلاق Snuffleupagus 0.5.1، وهو وحدة لحظر الثغرات الأمنية في تطبيقات PHP

إطلاق Snuffleupagus 0.5.1، وهو وحدة لحظر الثغرات الأمنية في تطبيقات PHP

بعد عام من التطوير نشرت إطلاق المشروع سنفليوباجوس 0.5.1، والذي يوفر وحدة لمترجم PHP7 لتحسين أمان البيئة وحظر الأخطاء الشائعة التي تؤدي إلى ثغرات أمنية في تشغيل تطبيقات PHP. تتيح لك الوحدة أيضًا إنشاء بقع افتراضية للتخلص من مشكلات محددة دون تغيير الكود المصدري للتطبيق الضعيف، وهو مناسب للاستخدام في أنظمة الاستضافة الجماعية حيث يكون من المستحيل تحديث جميع تطبيقات المستخدم. تُقدر التكاليف العامة للوحدة بأنها ضئيلة. الوحدة مكتوبة بلغة C، وهي متصلة على شكل مكتبة مشتركة ("extension=snuffleupagus.so" في php.ini) و وزعت من خلال مرخص بموجب LGPL 3.0.

يوفر Snuffleupagus نظام قواعد يسمح لك باستخدام القوالب القياسية لتحسين الأمان، أو إنشاء القواعد الخاصة بك للتحكم في بيانات الإدخال ومعلمات الوظائف. على سبيل المثال، القاعدة "sp.disable_function.function("system").param("command").value_r("[$|;&`\\n]").drop();" يسمح لك بالحد من استخدام الأحرف الخاصة في وسيطات دالة system() دون تغيير التطبيق. يتم توفير أساليب مدمجة لحظر فئات من نقاط الضعف مثل المشكلات، متعلق مع تسلسل البيانات، غير آمن استخدام وظيفة PHP mail()، وتسريب محتويات ملفات تعريف الارتباط أثناء هجمات XSS، والمشاكل الناجمة عن تحميل الملفات ذات التعليمات البرمجية القابلة للتنفيذ (على سبيل المثال، بالتنسيق فار)، توليد أرقام عشوائية ذات نوعية رديئة و الاستبدال بنيات XML غير صحيحة.

أوضاع تحسين أمان PHP المقدمة من Snuffleupagus:

  • تمكين علامتي "آمن" و"نفس الموقع" (حماية CSRF) تلقائيًا لملفات تعريف الارتباط، التشفير بسكويت؛
  • مجموعة مدمجة من القواعد لتحديد آثار الهجمات واختراق التطبيقات؛
  • التنشيط العالمي القسري لـ "صارم" (على سبيل المثال، يمنع محاولة تحديد سلسلة عند توقع قيمة عددية كوسيطة) والحماية ضد التلاعب بالنوع;
  • الحظر بشكل افتراضي مغلفة البروتوكول (على سبيل المثال، حظر "phar://") مع إدراجها في القائمة البيضاء الصريحة؛
  • حظر تنفيذ الملفات القابلة للكتابة؛
  • قوائم بالأبيض والأسود للتقييم؛
  • مطلوب لتمكين التحقق من شهادة TLS عند الاستخدام
    لفة؛
  • إضافة HMAC إلى الكائنات المتسلسلة للتأكد من أن إلغاء التسلسل يسترد البيانات المخزنة بواسطة التطبيق الأصلي؛
  • وضع تسجيل الطلب؛
  • منع تحميل الملفات الخارجية في libxml عبر الروابط الموجودة في مستندات XML؛
  • القدرة على ربط المعالجات الخارجية (upload_validation) لفحص الملفات التي تم تحميلها وفحصها؛

بين تغيير في الإصدار الجديد: دعم محسّن لـ PHP 7.4 وتنفيذ التوافق مع فرع PHP 8 قيد التطوير حاليًا، تمت إضافة القدرة على تسجيل الأحداث عبر syslog (يقترح تضمين التوجيه sp.log_media، والذي يمكن أن يأخذ قيم php أو syslog). تم تحديث مجموعة القواعد الافتراضية لتشمل قواعد جديدة لنقاط الضعف التي تم تحديدها مؤخرًا وتقنيات الهجوم ضد تطبيقات الويب. تحسين الدعم لنظام التشغيل macOS والاستخدام الموسع لمنصة التكامل المستمر المستندة إلى GitLab.

المصدر: opennet.ru

إضافة تعليق