En els límits del projecte un mòdul per connectar-se a l'intèrpret PHP7, dissenyat per millorar la seguretat de l'entorn i bloquejar els errors habituals que generen vulnerabilitats en l'execució d'aplicacions PHP. El mòdul també permet crear pedaços virtuals per solucionar problemes específics sense canviar el codi font de l'aplicació vulnerable, la qual cosa és convenient per utilitzar-lo en sistemes d'allotjament massiu on és impossible mantenir actualitzades totes les aplicacions d'usuari. El mòdul està escrit en C, està connectat en forma de biblioteca compartida (“extension=snuffleupagus.so” a php.ini) i amb llicència LGPL 3.0.
Snuffleupagus ofereix un sistema de regles que us permet utilitzar plantilles estàndard per millorar la seguretat o crear les vostres pròpies regles per controlar les dades d'entrada i els paràmetres de funció. Per exemple, la regla “sp.disable_function.function(“sistema”).param(“ordre”).value_r(“[$|;&`\\n]”).drop();” permet limitar l'ús de caràcters especials als arguments de la funció system() sense canviar l'aplicació. De la mateixa manera, podeu crear per bloquejar vulnerabilitats conegudes.
A jutjar per les proves realitzades pels desenvolupadors, Snuffleupagus gairebé no redueix el rendiment. Per garantir la seva pròpia seguretat (les possibles vulnerabilitats a la capa de seguretat poden servir com a vector addicional per als atacs), el projecte utilitza proves exhaustives de cada commit en diferents distribucions, utilitza sistemes d'anàlisi estàtica i el codi està formatat i documentat per simplificar l'auditoria.
Es proporcionen mètodes integrats per bloquejar classes de vulnerabilitats com ara problemes, amb serialització de dades, ús de la funció PHP mail(), filtració de contingut de galetes durant atacs XSS, problemes a causa de la càrrega de fitxers amb codi executable (per exemple, en el format ), generació de nombres aleatoris de mala qualitat i construccions XML incorrectes.
S'admeten els modes següents per millorar la seguretat de PHP:
- Activeu automàticament les marques "segures" i "mateix lloc" (protecció CSRF) per a les galetes, galeta;
- Conjunt de regles integrats per identificar rastres d'atacs i compromís d'aplicacions;
- Activació global forçada del "" (per exemple, bloqueja un intent d'especificar una cadena quan s'espera un valor enter com a argument) i protecció contra ;
- Bloqueig per defecte (per exemple, prohibint "phar://") amb la seva llista blanca explícita;
- Prohibició d'execució de fitxers que siguin escrivibles;
- Llistes en blanc i negre per a l'avaluació;
- Necessari per habilitar la comprovació del certificat TLS quan s'utilitza
rínxol; - Afegir HMAC als objectes serialitzats per garantir que la deserialització recuperi les dades emmagatzemades per l'aplicació original;
- Sol·licita el mode de registre;
- Bloquejar la càrrega de fitxers externs a libxml mitjançant enllaços en documents XML;
- Capacitat de connectar controladors externs (upload_validation) per comprovar i escanejar fitxers carregats;
El projecte va ser creat i utilitzat per protegir els usuaris de la infraestructura d'un dels grans operadors d'allotjament francesos. que simplement connectar Snuffleupagus protegiria contra moltes de les perilloses vulnerabilitats identificades aquest any a Drupal, WordPress i phpBB. Les vulnerabilitats a Magento i Horde es podrien bloquejar activant el mode
"sp.readonly_exec.enable()".
Font: opennet.ru