Human sa usa ka tuig nga kalamboan pagpagawas sa proyekto , nga naghatag ug module para sa PHP7 interpreter aron mapalambo ang seguridad sa palibot ug babagan ang kasagarang mga sayop nga mosangpot sa mga kahuyang sa pagpadagan sa mga aplikasyon sa PHP. Ang module usab nagtugot kanimo sa paghimo aron mapapas ang piho nga mga problema nga dili usbon ang source code sa mahuyang nga aplikasyon, nga kombenyente alang sa paggamit sa mga sistema sa pag-host sa masa diin imposible nga ipadayon ang tanan nga mga aplikasyon sa tiggamit hangtod karon. Ang overhead nga gasto sa module gibanabana nga gamay ra. Ang module gisulat sa C, konektado sa porma sa usa ka shared library (βextension=snuffleupagus.soβ sa php.ini) ug lisensyado ubos sa LGPL 3.0.
Naghatag ang Snuffleupagus og sistema sa mga lagda nga nagtugot kanimo sa paggamit sa mga sumbanan nga templates aron mapauswag ang seguridad, o paghimo sa imong kaugalingon nga mga lagda aron makontrol ang data sa input ug mga parameter sa function. Pananglitan, ang lagda nga "sp.disable_function.function("system").param("command").value_r("[$|;&`\\n]").drop();" nagtugot kanimo nga limitahan ang paggamit sa mga espesyal nga karakter sa mga argumento sa function sa system() nga dili usbon ang aplikasyon. Ang mga built-in nga pamaagi gihatag aron babagan ang mga klase sa mga kahuyangan sama sa mga isyu, uban ang data serialization, paggamit sa PHP mail() function, leakage sa Cookie contents atol sa XSS attacks, mga problema tungod sa loading files nga adunay executable code (pananglitan, sa format ), dili maayo nga kalidad nga random number generation ug sayop nga XML constructs.
Ang PHP security enhancement modes nga gihatag sa Snuffleupagus:
- Awtomatikong i-enable ang mga flag nga "secure" ug "samesite" (CSRF protection) para sa Cookies, Cookie;
- Gitukod-sa hugpong sa mga lagda aron mahibal-an ang mga pagsubay sa mga pag-atake ug pagkompromiso sa mga aplikasyon;
- Pinugos nga global nga pagpaaktibo sa "" (pananglitan, gibabagan ang usa ka pagsulay sa pagtino sa usa ka hilo kung nagpaabut sa usa ka integer nga kantidad ingon usa ka argumento) ug proteksyon batok sa ;
- Default nga pag-block (pananglitan, pagdili sa "phar://") uban sa ilang klaro nga whitelisting;
- Pagdili sa pagpatuman sa mga file nga masulat;
- Itom ug puti nga mga lista alang sa eval;
- Gikinahanglan aron mahimo ang pagsusi sa sertipiko sa TLS kung gamiton
kulot; - Pagdugang sa HMAC sa mga serialized nga mga butang aron masiguro nga makuha sa deserialization ang datos nga gitipigan sa orihinal nga aplikasyon;
- Paghangyo sa logging mode;
- Pag-ali sa pagkarga sa mga eksternal nga file sa libxml pinaagi sa mga link sa XML nga mga dokumento;
- Abilidad sa pagkonektar sa mga eksternal nga tigdumala (upload_validation) aron masusi ug ma-scan ang gi-upload nga mga file;
Lakip sa sa bag-ong pagpagawas: Gipauswag nga suporta alang sa PHP 7.4 ug gipatuman ang pagkaangay sa sanga sa PHP 8 nga karon gipauswag. Gidugang ang abilidad sa pag-log sa mga panghitabo pinaagi sa syslog (ang direktiba sa sp.log_media gisugyot alang sa paglakip, nga mahimoβg makuha ang mga kantidad sa php o syslog). Ang default set sa mga lagda gi-update aron maapil ang bag-ong mga lagda alang sa bag-o nga nahibal-an nga mga kahuyangan ug mga pamaagi sa pag-atake batok sa mga aplikasyon sa web. Gipauswag nga suporta alang sa macOS ug gipalapdan nga paggamit sa padayon nga platform sa panagsama nga gibase sa GitLab.
Source: opennet.ru