Pärast aastast arengut projekti väljalase , mis pakub PHP7 tõlgi moodulit keskkonna turvalisuse parandamiseks ja levinud vigade blokeerimiseks, mis viivad PHP rakenduste käitamise haavatavuseni. Moodul võimaldab ka luua konkreetsete probleemide kõrvaldamiseks haavatava rakenduse lähtekoodi muutmata, mida on mugav kasutada massmajutussüsteemides, kus kõiki kasutajarakendusi pole võimalik ajakohasena hoida. Mooduli üldkulud on hinnanguliselt minimaalsed. Moodul on kirjutatud C-keeles, on ühendatud jagatud teegi kujul (“extension=snuffleupagus.so” php.ini-s) ja litsentsitud LGPL 3.0 alusel.
Snuffleupagus pakub reeglite süsteemi, mis võimaldab teil turvalisuse parandamiseks kasutada standardseid malle või luua sisendandmete ja funktsiooniparameetrite juhtimiseks oma reegleid. Näiteks reegel „sp.disable_function.function(“süsteem”).param(“käsk”).value_r(“[$|;&`\\n]”).drop();” võimaldab piirata erimärkide kasutamist funktsiooni system() argumentides ilma rakendust muutmata. Sisseehitatud meetodid on saadaval turvaaukude klasside blokeerimiseks, nagu probleemid, andmete serialiseerimisega, PHP mail() funktsiooni kasutamine, küpsiste sisu lekkimine XSS-i rünnakute ajal, käivitatava koodiga failide laadimise probleemid (näiteks vormingus ), halva kvaliteediga juhuslike numbrite genereerimine ja valed XML-konstruktsioonid.
Snuffleupaguse pakutavad PHP turvalisuse täiustamise režiimid:
- Lubage küpsiste jaoks automaatselt lipud "turvaline" ja "sama sait" (CSRF-kaitse), Küpsis;
- Sisseehitatud reeglite kogum rünnete jälgede tuvastamiseks ja rakenduste ohustamiseks;
- "" sunnitud globaalne aktiveerimine" (nt blokeerib katse määrata string, kui eeldab argumendina täisarvu) ja kaitse ;
- Vaikimisi blokeeritakse (näiteks "phar://" keelamine) koos nende selgesõnalise lubatud loendiga;
- Kirjutatavate failide käivitamise keeld;
- eval mustad ja valged nimekirjad;
- Nõutav TLS-i sertifikaadi kontrollimise lubamiseks kasutamisel
curl; - HMAC-i lisamine jadaobjektidele tagamaks, et deserialiseerimine toob algse rakenduse salvestatud andmed;
- Taotle logimisrežiimi;
- Väliste failide laadimise blokeerimine libxml-is XML-dokumentides olevate linkide kaudu;
- Võimalus ühendada väliseid töötlejaid (upload_validation) üleslaaditud failide kontrollimiseks ja skannimiseks;
vahel uues versioonis: Täiustatud tugi PHP 7.4-le ja juurutatud ühilduvus praegu arendatava PHP 8 haruga. Lisatud on võimalus logida sündmusi syslogi kaudu (pakutakse kaasamiseks sp.log_media direktiiv, mis võib võtta php või syslogi väärtusi). Reeglite vaikekomplekti on värskendatud, et lisada uusi reegleid hiljuti tuvastatud haavatavuste ja veebirakenduste vastu suunatud ründetehnikate jaoks. MacOS-i täiustatud tugi ja GitLabil põhineva pideva integratsiooniplatvormi laiendatud kasutamine.
Allikas: opennet.ru