Издаване на Snuffleupagus 0.5.1, модул за блокиране на уязвимости в PHP приложения

След година на развитие публикувани издание на проекта Емфие 0.5.1, който предоставя модул за PHP7 интерпретатора за подобряване на сигурността на средата и блокиране на често срещани грешки, които водят до уязвимости при стартиране на PHP приложения. Модулът също така ви позволява да създавате виртуални пачове за елиминиране на конкретни проблеми без промяна на изходния код на уязвимото приложение, което е удобно за използване в масови хостинг системи, където е невъзможно всички потребителски приложения да се поддържат актуални. Режийните разходи за модула се оценяват като минимални. Модулът е написан на C, свързан е под формата на споделена библиотека („разширение=snuffleupagus.so“ в php.ini) и разпространява се от лицензиран съгласно LGPL 3.0.

Snuffleupagus предоставя система от правила, която ви позволява да използвате стандартни шаблони за подобряване на сигурността или да създавате свои собствени правила за контрол на входните данни и функционалните параметри. Например правилото “sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” ви позволява да ограничите използването на специални знаци в аргументите на функцията system(), без да променяте приложението. Осигурени са вградени методи за блокиране на класове уязвимости като проблеми, свързани със сериализация на данни, опасно използване на функцията PHP mail(), изтичане на съдържание на бисквитки по време на XSS атаки, проблеми поради зареждане на файлове с изпълним код (например във формат phar), генериране на произволни числа с лошо качество и заместване неправилни XML конструкции.

Режими за подобряване на защитата на PHP, предоставени от Snuffleupagus:

• Автоматично активиране на флаговете "сигурен" и "същият сайт" (CSRF защита) за бисквитки, криптиране бисквитка;
• Вграден набор от правила за идентифициране на следи от атаки и компрометиране на приложения;
• Принудително глобално активиране на "стриктен" (например блокира опит за указване на низ, когато се очаква целочислена стойност като аргумент) и защита срещу тип манипулация;
• Блокиране по подразбиране обвивки на протоколи (например забрана на „phar://“) с техния изричен бял списък;
• Забрана за изпълнение на файлове, които могат да се записват;
• Черни и бели списъци за оценка;
• Изисква се за активиране на проверка на TLS сертификат при използване
  къдрица;
• Добавяне на HMAC към сериализирани обекти, за да се гарантира, че десериализацията извлича данните, съхранени от оригиналното приложение;
• Режим на регистриране на заявки;
• Блокиране на зареждането на външни файлове в libxml чрез връзки в XML документи;
• Възможност за свързване на външни манипулатори (upload_validation) за проверка и сканиране на качени файлове;

сред промени в новата версия: Подобрена поддръжка за PHP 7.4 и внедрена съвместимост с клона на PHP 8, който в момента се разработва.Добавена е възможност за регистриране на събития чрез syslog (директивата sp.log_media е предложена за включване, която може да приема php или syslog стойности). Наборът от правила по подразбиране е актуализиран, за да включва нови правила за наскоро идентифицирани уязвимости и техники за атака срещу уеб приложения. Подобрена поддръжка за macOS и разширено използване на платформата за непрекъсната интеграция, базирана на GitLab.

Източник: opennet.ru