🥇Проект Snuffleupagus развивает PHP-модуль для блокирования уязвимостей

In i cunfini di u prugettu snuffleupagus si sviluppa модуль для подключения к интерпретатору PHP7, предназначенный для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать виртуальные патчи для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Модуль написан на языке Си, подключается в форме разделяемой библиотеки («extension=snuffleupagus.so» в php.ini) и distribuitu da Licenziatu sottu LGPL 3.0.

Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля входных данных и параметров функций. Например, правило «sp.disable_function.function(«system»).param(«command»).value_r(«[$|;&`\\n]»).drop();» позволяет не изменяя приложения ограничить использование спецсимволов в аргументах функции system(). Аналогично можно создавать patches virtuali для блокирования известных уязвимостей.

Судя по проведённым разработчиками тестам Snuffleupagus почти не снижает производительность. Для обеспечения собственной безопасности (возможные уязвимости в прослойке для защиты могут служить дополнительным вектором для атак) в проекте применяется доскональное тестирование каждого коммита в разных дистрибутивах, используются системы статического анализа, код оформляется и документируется для упрощения проведения аудита.

Предоставляются встроенные методы для блокирования таких классов уязвимоcтей, как проблемы, in relazione cù a serializazione di dati, inseguru usu di a funzione PHP mail(), fuga di u cuntenutu di Cookie durante attacchi XSS, prublemi per carica di fugliali cù codice eseguibile (per esempiu, in u formatu phar), generazione di numeri aleatorii di qualità povera è sustituzione custruzzioni XML incorrecte.

Из режимов для повышения защиты PHP поддерживаются:

Abilita automaticamente e bandiere "secure" è "samessite" (prutezzione CSRF) per i Cookies, criptografia Cookie;
Inseme di regule integrate per identificà tracce di attacchi è cumprumessi di applicazioni;
Attivazione globale forzata di "strettu" (per esempiu, blucca un tentativu di specificà una stringa quandu aspetta un valore interu cum'è argumentu) è prutezzione contru manipulazione di tipu;
Bloccu per difettu wrappers di protocolu (per esempiu, pruibisce "phar://") cù a so lista bianca esplicita;
Proibizione di eseguisce schedari chì sò scrivibili;
Listi neri è bianchi per eval;
Hè necessariu per attivà a verificazione di u certificatu TLS quandu si usa
curl;
Aghjunghjendu HMAC à l'uggetti seriali per assicurà chì a deserializazione recupera i dati guardati da l'applicazione originale;
dumandà u modu di logu;
Bloccà a carica di i fugliali esterni in libxml via ligami in documenti XML;
Capacità di cunnette i gestori esterni (upload_validation) per verificà è scansà i fugliali caricati;

Проект создан и используется для защиты пользователей в инфраструктуре одного из крупных французских операторов хостинга. Hè nutatu, что просто подключение Snuffleupagus позволило бы защититься от многих опасных уязвимостей, выявленных в этом году в Drupal, WordPress и phpBB. Уязвимости в Magento и Horde могли бы быть блокированы включением режима
«sp.readonly_exec.enable()».

Source: opennet.ru

U prughjettu Snuffleupagus sviluppa un modulu PHP per bluccà e vulnerabilità

Add a comment annuler risponde