Layihə çərçivəsində PHP7 tərcüməçisinə qoşulmaq üçün modul, ətraf mühitin təhlükəsizliyini yaxşılaşdırmaq və PHP proqramlarının işlədilməsi zamanı zəifliklərə səbəb olan ümumi səhvləri bloklamaq üçün nəzərdə tutulmuşdur. Modul həmçinin həssas tətbiqin mənbə kodunu dəyişmədən konkret problemləri həll etmək üçün virtual yamalar yaratmağa imkan verir ki, bu da bütün istifadəçi proqramlarını yeni saxlamaq mümkün olmayan kütləvi hostinq sistemlərində istifadə üçün əlverişlidir. Modul C dilində yazılmışdır, ortaq kitabxana şəklində bağlıdır (“php.ini-də genişlənmə=snuffleupagus.so”) və LGPL 3.0 altında lisenziyalıdır.
Snuffleupagus sizə təhlükəsizliyi yaxşılaşdırmaq üçün standart şablonlardan istifadə etməyə və ya daxil edilmiş məlumatlara və funksiya parametrlərinə nəzarət etmək üçün öz qaydalarınızı yaratmağa imkan verən qaydalar sistemi təqdim edir. Məsələn, “sp.disable_function.function(“sistem”).param(“command”).value_r(“[$|;&`\\n]”).drop();” qaydası tətbiqi dəyişdirmədən system() funksiya arqumentlərində xüsusi simvolların istifadəsini məhdudlaşdırmağa imkan verir. Eynilə, yarada bilərsiniz məlum zəiflikləri bloklamaq üçün.
Tərtibatçılar tərəfindən aparılan sınaqlara əsasən, Snuffleupagus performansını çətin ki, azaldır. Öz təhlükəsizliyini təmin etmək üçün (təhlükəsizlik səviyyəsindəki mümkün zəifliklər hücumlar üçün əlavə vektor rolunu oynaya bilər) layihə müxtəlif paylanmalarda hər bir öhdəliyin hərtərəfli sınaqdan keçirilməsindən istifadə edir, statik analiz sistemlərindən istifadə edir və auditi sadələşdirmək üçün kod formatlanır və sənədləşdirilir.
Problemlər kimi zəiflik siniflərini bloklamaq üçün daxili metodlar təmin edilir. məlumatların seriallaşdırılması ilə, PHP mail() funksiyasından istifadə, XSS hücumları zamanı kuki məzmununun sızması, icra olunan kodla faylların yüklənməsi ilə bağlı problemlər (məsələn, formatda) ), keyfiyyətsiz təsadüfi ədədlərin yaradılması və səhv XML konstruksiyaları.
PHP təhlükəsizliyini artırmaq üçün aşağıdakı rejimlər dəstəklənir:
- Kukilər üçün "təhlükəsiz" və "samesite" (CSRF qorunması) bayraqlarını avtomatik aktivləşdirin, kuki;
- Hücumların izlərini və tətbiqlərin kompromislərini müəyyən etmək üçün daxili qaydalar dəsti;
- Məcburi qlobal aktivləşdirmə "" (məsələn, arqument kimi tam ədədi gözləyərkən sətri təyin etmək cəhdini bloklayır) və ;
- Defolt bloklama (məsələn, "phar://" qadağan edilməsi) onların açıq siyahıya salınması ilə;
- Yazıla bilən faylların icrasına qadağa;
- Qiymətləndirmə üçün qara və ağ siyahılar;
- İstifadə edərkən TLS sertifikat yoxlamasını aktivləşdirmək üçün tələb olunur
qıvrım; - Serializasiyanın orijinal proqram tərəfindən saxlanılan məlumatları əldə etməsini təmin etmək üçün seriallaşdırılmış obyektlərə HMAC əlavə edilməsi;
- Giriş rejimini tələb edin;
- XML sənədlərindəki keçidlər vasitəsilə libxml-də xarici faylların yüklənməsinin bloklanması;
- Yüklənmiş faylları yoxlamaq və skan etmək üçün xarici işləyiciləri (upload_validation) birləşdirmək imkanı;
Layihə Fransanın böyük hostinq operatorlarından birinin infrastrukturunda istifadəçiləri qorumaq üçün yaradılmış və istifadə edilmişdir. Snuffleupagus-u sadəcə birləşdirmək bu il Drupal, WordPress və phpBB-də müəyyən edilmiş bir çox təhlükəli zəifliklərdən qoruyacaq. Magento və Horde-dakı boşluqlar rejimi aktivləşdirməklə bloklana bilər
"sp.readonly_exec.enable()".
Mənbə: opennet.ru