Urtebeteko garapenaren ostean proiektuaren kaleratzea , PHP7 interpreteari modulu bat eskaintzen dion ingurunearen segurtasuna hobetzeko eta PHP aplikazioak exekutatzeko ahultasunak eragiten dituzten ohiko erroreak blokeatzeko. Moduluak sortzeko aukera ere ematen du arazo zehatzak ezabatzea zaurgarriaren aplikazioaren iturburu-kodea aldatu gabe, eta hori erosoa den ostalaritza masiboko sistemetan erabiltzeko ezinezkoa den erabiltzaileen aplikazio guztiak eguneratuta edukitzea. Moduluaren kostu orokorrak gutxienekoak direla kalkulatzen da. Modulua C-n idatzita dago, liburutegi partekatu baten moduan konektatuta dago ("extension=snuffleupagus.so" php.ini-n) eta LGPL 3.0 lizentziapean.
Snuffleupagusek arau-sistema bat eskaintzen du, segurtasuna hobetzeko txantiloi estandarrak erabiltzeko edo zure arauak sortzeko sarrerako datuak eta funtzio-parametroak kontrolatzeko. Adibidez, "sp.disable_function.function ("sistema").param ("komandoa").value_r ("[$|;&`\\n]").drop();" araua. sistema() funtzioen argumentuetan karaktere berezien erabilera mugatzeko aukera ematen du, aplikazioa aldatu gabe. Metodo integratuak eskaintzen dira ahultasun klaseak blokeatzeko, hala nola arazoak, datuen serializazioarekin, PHP mail() funtzioaren erabilera, XSS erasoetan cookieen edukia isurtzea, kode exekutagarriarekin fitxategiak kargatzearen ondoriozko arazoak (adibidez, formatuan ), kalitate txarreko ausazko zenbakiak sortzea eta XML eraikuntza okerrak.
Snuffleupagusek eskaintzen dituen PHP segurtasuna hobetzeko moduak:
- Gaitu automatikoki "segurua" eta "gune bereko" (CSRF babesa) banderak cookieetarako, Cookie;
- Erasoen eta aplikazioen arriskuen aztarnak identifikatzeko arau multzo integratua;
- Aktibazio global behartua "" (adibidez, kate bat zehazteko saiakera bat blokeatzen du balio oso bat argumentu gisa espero denean) eta babesa ;
- Blokeo lehenetsia (adibidez, "phar://" debekatuz euren zerrenda zuri esplizituarekin);
- Idatzi daitezkeen fitxategiak exekutatzeko debekua;
- Zerrenda zuri-beltzak ebaluaziorako;
- Erabiltzerakoan TLS ziurtagiriaren egiaztapena gaitzeko beharrezkoa da
Kiribil; - Serializatutako objektuei HMAC gehitzea deserializazioak jatorrizko aplikazioak gordetako datuak berreskuratzen dituela ziurtatzeko;
- Eskatu erregistratzeko modua;
- Kanpoko fitxategiak libxml-n kargatzea blokeatzea XML dokumentuetako esteken bidez;
- Kanpoko kudeatzaileak konektatzeko gaitasuna (upload_validation) igotako fitxategiak egiaztatzeko eta eskaneatzeko;
Artean bertsio berrian: PHP 7.4rako euskarria hobetu eta garapenean dagoen PHP 8 adarrarekin bateragarritasuna gehitu da Syslog bidez gertaerak erregistratzeko (sp.log_media zuzentaraua sartzea proposatzen da, php edo syslog balioak har ditzake). Arau-multzo lehenetsia eguneratu da, duela gutxi identifikatutako ahultasunen eta web-aplikazioen aurkako eraso-tekniken arau berriak sartzeko. MacOS-erako laguntza hobetu eta GitLab-en oinarritutako etengabeko integrazio plataformaren erabilera zabaldu da.
Iturria: opennet.ru