Bir illik inkişafdan sonra layihə buraxılışı , предоставляющего модуль к интерпретатору PHP7 для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Накладные расходы от работы модуля оцениваются как минимальные. Модуль написан на языке Си, подключается в форме разделяемой библиотеки («extension=snuffleupagus.so» в php.ini) и LGPL 3.0 altında lisenziyalıdır.
Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля входных данных и параметров функций. Например, правило «sp.disable_function.function(«system»).param(«command»).value_r(«[$|;&`\\n]»).drop();» позволяет не изменяя приложения ограничить использование спецсимволов в аргументах функции system(). Предоставляются встроенные методы для блокирования таких классов уязвимоcтей, как проблемы, məlumatların seriallaşdırılması ilə, PHP mail() funksiyasından istifadə, XSS hücumları zamanı kuki məzmununun sızması, icra olunan kodla faylların yüklənməsi ilə bağlı problemlər (məsələn, formatda) ), keyfiyyətsiz təsadüfi ədədlərin yaradılması və səhv XML konstruksiyaları.
Предоставляемые в Snuffleupagus режимы повышения защиты PHP:
- Kukilər üçün "təhlükəsiz" və "samesite" (CSRF qorunması) bayraqlarını avtomatik aktivləşdirin, kuki;
- Hücumların izlərini və tətbiqlərin kompromislərini müəyyən etmək üçün daxili qaydalar dəsti;
- Məcburi qlobal aktivləşdirmə "" (məsələn, arqument kimi tam ədədi gözləyərkən sətri təyin etmək cəhdini bloklayır) və ;
- Defolt bloklama (məsələn, "phar://" qadağan edilməsi) onların açıq siyahıya salınması ilə;
- Yazıla bilən faylların icrasına qadağa;
- Qiymətləndirmə üçün qara və ağ siyahılar;
- İstifadə edərkən TLS sertifikat yoxlamasını aktivləşdirmək üçün tələb olunur
qıvrım; - Serializasiyanın orijinal proqram tərəfindən saxlanılan məlumatları əldə etməsini təmin etmək üçün seriallaşdırılmış obyektlərə HMAC əlavə edilməsi;
- Giriş rejimini tələb edin;
- XML sənədlərindəki keçidlər vasitəsilə libxml-də xarici faylların yüklənməsinin bloklanması;
- Yüklənmiş faylları yoxlamaq və skan etmək üçün xarici işləyiciləri (upload_validation) birləşdirmək imkanı;
arasında в новом выпуске: Улучшена поддержка PHP 7.4 и реализована совместимость с находящейся в разработке веткой PHP 8. Добавлена возможность журналирования событий через syslog (для включения предложена директива sp.log_media, которая может принимать значения php или syslog). Обновлён предлагаемый по умолчанию набор правил, в который добавлены новые правила для выявленных в последнее время уязвимостей и техник атак на web-приложения. Улучшена поддержка macOS и расширено применение платформы непрерывной интеграции на базе GitLab.
Mənbə: opennet.ru