🥇Проектът Snuffleupagus разработва PHP модул за блокиране на уязвимости

В границите на проекта емфие се развива модул за свързване с PHP7 интерпретатора, предназначен да подобри сигурността на средата и да блокира често срещани грешки, които водят до уязвимости при стартиране на PHP приложения. Модулът също ви позволява да създавате виртуални пачове за коригиране на конкретни проблеми, без да променяте изходния код на уязвимото приложение, което е удобно за използване в масови хостинг системи, където е невъзможно всички потребителски приложения да се поддържат актуални. Модулът е написан на C, свързан е под формата на споделена библиотека („разширение=snuffleupagus.so“ в php.ini) и разпространява се от лицензиран съгласно LGPL 3.0.

Snuffleupagus предоставя система от правила, която ви позволява да използвате стандартни шаблони за подобряване на сигурността или да създавате свои собствени правила за контрол на входните данни и функционалните параметри. Например правилото “sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” ви позволява да ограничите използването на специални знаци в аргументите на функцията system(), без да променяте приложението. По същия начин можете да създадете виртуални пачове за блокиране на известни уязвимости.

Съдейки по тестовете, проведени от разработчиците, Snuffleupagus почти не намалява производителността. За да гарантира собствената си сигурност (възможни уязвимости в защитния слой могат да служат като допълнителен вектор за атаки), проектът използва задълбочено тестване на всеки комит в различни дистрибуции, използва системи за статичен анализ и кодът е форматиран и документиран, за да опрости одита.

Осигурени са вградени методи за блокиране на класове уязвимости като проблеми, свързани със сериализация на данни, опасно използване на функцията PHP mail(), изтичане на съдържание на бисквитки по време на XSS атаки, проблеми поради зареждане на файлове с изпълним код (например във формат phar), генериране на произволни числа с лошо качество и заместване неправилни XML конструкции.

Следните режими се поддържат за подобряване на сигурността на PHP:

Автоматично активиране на флаговете "сигурен" и "същият сайт" (CSRF защита) за бисквитки, криптиране бисквитка;
Вграден набор от правила за идентифициране на следи от атаки и компрометиране на приложения;
Принудително глобално активиране на "стриктен" (например блокира опит за указване на низ, когато се очаква целочислена стойност като аргумент) и защита срещу тип манипулация;
Блокиране по подразбиране обвивки на протоколи (например забрана на „phar://“) с техния изричен бял списък;
Забрана за изпълнение на файлове, които могат да се записват;
Черни и бели списъци за оценка;
Изисква се за активиране на проверка на TLS сертификат при използване
къдрица;
Добавяне на HMAC към сериализирани обекти, за да се гарантира, че десериализацията извлича данните, съхранени от оригиналното приложение;
Режим на регистриране на заявки;
Блокиране на зареждането на външни файлове в libxml чрез връзки в XML документи;
Възможност за свързване на външни манипулатори (upload_validation) за проверка и сканиране на качени файлове;

Проектът е създаден и използван за защита на потребителите в инфраструктурата на един от големите френски хостинг оператори. Отбелязва сече простото свързване на Snuffleupagus ще защити срещу много от опасните уязвимости, идентифицирани тази година в Drupal, WordPress и phpBB. Уязвимостите в Magento и Horde могат да бъдат блокирани чрез активиране на режима
"sp.readonly_exec.enable()".

Източник: opennet.ru

Проектът Snuffleupagus разработва PHP модул за блокиране на уязвимости

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар