Mae'r prosiect Snuffleupagus yn datblygu modiwl PHP ar gyfer rhwystro gwendidau

Yn ffiniau'r prosiect snuffleupagus yn datblygu модуль для подключения к интерпретатору PHP7, предназначенный для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать виртуальные патчи для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Модуль написан на языке Си, подключается в форме разделяемой библиотеки («extension=snuffleupagus.so» в php.ini) и dosbarthu gan trwyddedig o dan LGPL 3.0.

Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля входных данных и параметров функций. Например, правило «sp.disable_function.function(«system»).param(«command»).value_r(«[$|;&`\\n]»).drop();» позволяет не изменяя приложения ограничить использование спецсимволов в аргументах функции system(). Аналогично можно создавать clytiau rhithwir для блокирования известных уязвимостей.

Судя по проведённым разработчиками тестам Snuffleupagus почти не снижает производительность. Для обеспечения собственной безопасности (возможные уязвимости в прослойке для защиты могут служить дополнительным вектором для атак) в проекте применяется доскональное тестирование каждого коммита в разных дистрибутивах, используются системы статического анализа, код оформляется и документируется для упрощения проведения аудита.

Предоставляются встроенные методы для блокирования таких классов уязвимоcтей, как проблемы, cysylltiedig gyda chyfresoli data, anniogel defnydd o'r swyddogaeth PHP mail() , cynnwys Cwci yn gollwng yn ystod ymosodiadau XSS, problemau oherwydd llwytho ffeiliau gyda chod gweithredadwy (er enghraifft, yn y fformat phar), cynhyrchu rhifau ar hap o ansawdd gwael a eilydd lluniadau XML anghywir.

Из режимов для повышения защиты PHP поддерживаются:

• Galluogi baneri "diogel" a "yr un safle" (amddiffyniad CSRF) yn awtomatig ar gyfer Cwcis, amgryptio Cwci;
• Set o reolau adeiledig i nodi olion ymosodiadau a chyfaddawdu cymwysiadau;
• Gweithrediad byd-eang gorfodol o'r "llym" (er enghraifft, yn rhwystro ymgais i nodi llinyn wrth ddisgwyl gwerth cyfanrif fel dadl) ac amddiffyniad rhag trin math;
• Blocio rhagosodedig deunydd lapio protocol (er enghraifft, gwahardd "phar://") gyda'u rhestr wen benodol;
• Gwahardd gweithredu ffeiliau y gellir eu hysgrifennu;
• Rhestrau du a gwyn ar gyfer eval;
• Yn ofynnol i alluogi gwirio tystysgrif TLS wrth ddefnyddio
  cyrl;

• Ychwanegu HMAC at wrthrychau cyfresol i sicrhau bod dad-gyfeiriad yn adfer y data a storiwyd gan y cymhwysiad gwreiddiol;
• Modd logio cais;
• Rhwystro llwytho ffeiliau allanol yn libxml trwy ddolenni mewn dogfennau XML;
• Y gallu i gysylltu trinwyr allanol (upload_validation) i wirio a sganio ffeiliau wedi'u llwytho i fyny;

Проект создан и используется для защиты пользователей в инфраструктуре одного из крупных французских операторов хостинга. Nodir, что просто подключение Snuffleupagus позволило бы защититься от многих опасных уязвимостей, выявленных в этом году в Drupal, WordPress и phpBB. Уязвимости в Magento и Horde могли бы быть блокированы включением режима
«sp.readonly_exec.enable()».

Ffynhonnell: opennet.ru