Dopu un annu di sviluppu liberazione di u prugettu , chì furnisce un modulu per l'interprete PHP7 per migliurà a sicurità di l'ambiente è bluccà l'errore cumuni chì portanu à vulnerabili in l'esecuzione di l'applicazioni PHP. U modulu permette ancu di creà per eliminà i prublemi specifichi senza cambià u codice fonte di l'applicazione vulnerabile, chì hè cunvenutu per l'usu in sistemi di hosting di massa induve hè impussibile di mantene tutte l'applicazioni di l'utilizatori à ghjornu. I costi generali di u modulu sò stimati à esse minimi. U modulu hè scrittu in C, hè cunnessu in forma di una libreria spartuta ("extension=snuffleupagus.so" in php.ini) è Licenziatu sottu LGPL 3.0.
Snuffleupagus furnisce un sistema di regule chì permette di utilizà mudelli standard per migliurà a sicurità, o creanu e vostre regule per cuntrullà i dati di input è i paràmetri di funzione. Per esempiu, a regula "sp.disable_function.function ("system").param ("cumanda").value_r ("[$|;&`\\n]").drop();" permette di limità l'usu di caratteri speciali in argumenti di funzione di sistema () senza cambià l'applicazione. I metudi integrati sò furniti per bluccà classi di vulnerabilità cum'è prublemi, cù a serializazione di dati, usu di a funzione PHP mail(), fuga di u cuntenutu di Cookie durante attacchi XSS, prublemi per carica di fugliali cù codice eseguibile (per esempiu, in u formatu ), generazione di numeri aleatorii di qualità povera è custruzzioni XML incorrecte.
Modi di rinfurzà di sicurità PHP furniti da Snuffleupagus:
- Abilita automaticamente e bandiere "secure" è "samessite" (prutezzione CSRF) per i Cookies, Cookie;
- Inseme di regule integrate per identificà tracce di attacchi è cumprumessi di applicazioni;
- Attivazione globale forzata di "" (per esempiu, blucca un tentativu di specificà una stringa quandu aspetta un valore interu cum'è argumentu) è prutezzione contru ;
- Bloccu per difettu (per esempiu, pruibisce "phar://") cù a so lista bianca esplicita;
- Proibizione di eseguisce schedari chì sò scrivibili;
- Listi neri è bianchi per eval;
- Hè necessariu per attivà a verificazione di u certificatu TLS quandu si usa
curl; - Aghjunghjendu HMAC à l'uggetti seriali per assicurà chì a deserializazione recupera i dati guardati da l'applicazione originale;
- dumandà u modu di logu;
- Bloccà a carica di i fugliali esterni in libxml via ligami in documenti XML;
- Capacità di cunnette i gestori esterni (upload_validation) per verificà è scansà i fugliali caricati;
Frà in a nova versione: Supportu megliu per PHP 7.4 è implementatu a cumpatibilità cù a filiera PHP 8 attualmente in sviluppu Aggiunta l'abilità di log events via syslog (a direttiva sp.log_media hè pruposta per l'inclusione, chì pò piglià valori php o syslog). L'inseme predeterminatu di regule hè statu aghjurnatu per include novi regule per vulnerabilità recentemente identificate è tecniche di attaccu contr'à l'applicazioni web. Supportu migliuratu per macOS è usu allargatu di a piattaforma di integrazione cuntinuu basata in GitLab.
Source: opennet.ru