ProHoster > Блог > interretaj novaĵoj > Eldono de Snuffleupagus 0.5.1, modulo por blokado de vundeblecoj en PHP-aplikoj

Eldono de Snuffleupagus 0.5.1, modulo por blokado de vundeblecoj en PHP-aplikoj

Post jaro da evoluo eldonita projekteldono Snuffleupagus 0.5.1, kiu disponigas modulon por la PHP7-interpretisto por plibonigi la sekurecon de la medio kaj bloki oftajn erarojn, kiuj kondukas al vundeblecoj en funkciado de PHP-aplikoj. La modulo ankaŭ permesas krei virtualaj diakiloj forigi specifajn problemojn sen ŝanĝi la fontkodon de la vundebla aplikaĵo, kio estas oportuna por uzo en amasaj gastigaj sistemoj, kie estas neeble teni ĉiujn uzantajn aplikojn ĝisdatigitaj. La superkostoj de la modulo estas taksitaj esti minimumaj. La modulo estas skribita en C, estas konektita en la formo de komuna biblioteko ("extension=snuffleupagus.so" en php.ini) kaj distribuita de licencita laŭ LGPL 3.0.

Snuffleupagus provizas regulsistemon, kiu ebligas al vi uzi normajn ŝablonojn por plibonigi sekurecon, aŭ krei viajn proprajn regulojn por kontroli enigajn datumojn kaj funkcio-parametrojn. Ekzemple, la regulo “sp.disable_function.function(“sistemo”).param(“komando”).value_r(“[$|;&`\\n]”).drop();” permesas vin limigi la uzon de specialaj signoj en system()-funkciaj argumentoj sen ŝanĝi la aplikaĵon. Enkonstruitaj metodoj estas provizitaj por bloki klasojn de vundeblecoj kiel problemoj, rilataj kun datumseriigo, nesekura uzo de PHP-mail()-funkcio, elfluo de Cookie-enhavo dum XSS-atakoj, problemoj pro ŝargado de dosieroj kun plenumebla kodo (ekzemple, en la formato phar), malbonkvalita hazarda nombrogeneracio kaj anstataŭigo malĝustaj XML-konstruaĵoj.

PHP-sekurecaj plibonigaj reĝimoj provizitaj de Snuffleupagus:

  • Aŭtomate ebligu "sekuran" kaj "samsite" (CSRF-protekto) flagojn por Kuketoj, ĉifrado Kuketo;
  • Enkonstruita aro de reguloj por identigi spurojn de atakoj kaj kompromiso de aplikoj;
  • Devigita tutmonda aktivigo de la "striktaj" (ekzemple, blokas provon specifi ĉenon atendante entjeran valoron kiel argumenton) kaj protekton kontraŭ tipmanipulado;
  • Defaŭlta blokado protokolaj envolvaĵoj (ekzemple, malpermesante "phar://") kun ilia eksplicita blanklisto;
  • Malpermeso pri ekzekuto de dosieroj skribeblaj;
  • Nigraj kaj blankaj listoj por eval;
  • Bezonata por ebligi TLS-atestilon kontrolante dum uzado
    buklo;
  • Aldonante HMAC al seriigitaj objektoj por certigi ke deseriigo reakiras la datenojn stokitajn per la origina aplikaĵo;
  • Peti registran reĝimon;
  • Blokado de ŝarĝo de eksteraj dosieroj en libxml per ligiloj en XML-dokumentoj;
  • Kapablo konekti eksterajn prizorgantojn (upload_validation) por kontroli kaj skani alŝutitajn dosierojn;

Inter la ŝanĝoj en la nova eldono: Plibonigita subteno por PHP 7.4 kaj efektivigita kongruo kun la disvolvata branĉo de PHP 8. Aldonita la kapablo registri eventojn per syslog (la direktivo sp.log_media estas proponita por inkludo, kiu povas preni valorojn php aŭ syslog). La defaŭlta aro de reguloj estis ĝisdatigita por inkludi novajn regulojn por lastatempe identigitaj vundeblecoj kaj atakteknikoj kontraŭ TTT-aplikoj. Plibonigita subteno por macOS kaj vastigita uzo de la kontinua integriga platformo bazita sur GitLab.

fonto: opennet.ru

Aldoni komenton