Proiektuaren mugetan PHP7 interpretearekin konektatzeko modulua, ingurunearen segurtasuna hobetzeko eta PHP aplikazioak exekutatzeko ahultasunak eragiten dituzten ohiko erroreak blokeatzeko diseinatua. Moduluak, gainera, adabaki birtualak sortzeko aukera ematen du arazo zehatzak konpontzeko aplikazio zaurgarriaren iturburu-kodea aldatu gabe, eta hori erosoa da ostalaritza masiboko sistemetan erabiltzeko, non ezinezkoa den erabiltzaile-aplikazio guztiak eguneratuta edukitzea. Modulua C-n idatzita dago, liburutegi partekatu baten moduan konektatuta dago ("extension=snuffleupagus.so" php.ini-n) eta LGPL 3.0 lizentziapean.
Snuffleupagusek arau-sistema bat eskaintzen du, segurtasuna hobetzeko txantiloi estandarrak erabiltzeko edo sarrerako datuak eta funtzio-parametroak kontrolatzeko zure arauak sortzeko aukera ematen duena. Adibidez, "sp.disable_function.function ("sistema").param ("komandoa").value_r ("[$|;&`\\n]").drop();" araua. sistema() funtzioen argumentuetan karaktere berezien erabilera mugatzeko aukera ematen du, aplikazioa aldatu gabe. Era berean, sor dezakezu ahulgune ezagunak blokeatzeko.
Garatzaileek egindako proben arabera, Snuffleupagusek apenas murrizten du errendimendua. Bere segurtasuna bermatzeko (segurtasun-geruzan ahultasun posibleak erasoetarako bektore gehigarri gisa balio dezake), proiektuak konpromezu bakoitzaren proba sakonak erabiltzen ditu banaketa ezberdinetan, analisi estatikoko sistemak erabiltzen ditu eta kodea formateatu eta dokumentatzen da auditoria errazteko.
Metodo integratuak eskaintzen dira ahultasun klaseak blokeatzeko, hala nola arazoak, datuen serializazioarekin, PHP mail() funtzioaren erabilera, XSS erasoetan cookieen edukia isurtzea, kode exekutagarriarekin fitxategiak kargatzearen ondoriozko arazoak (adibidez, formatuan ), kalitate txarreko ausazko zenbakiak sortzea eta XML eraikuntza okerrak.
PHP segurtasuna hobetzeko modu hauek onartzen dira:
- Gaitu automatikoki "segurua" eta "gune bereko" (CSRF babesa) banderak cookieetarako, Cookie;
- Erasoen eta aplikazioen arriskuen aztarnak identifikatzeko arau multzo integratua;
- Aktibazio global behartua "" (adibidez, kate bat zehazteko saiakera bat blokeatzen du balio oso bat argumentu gisa espero denean) eta babesa ;
- Blokeo lehenetsia (adibidez, "phar://" debekatuz euren zerrenda zuri esplizituarekin);
- Idatzi daitezkeen fitxategiak exekutatzeko debekua;
- Zerrenda zuri-beltzak ebaluaziorako;
- Erabiltzerakoan TLS ziurtagiriaren egiaztapena gaitzeko beharrezkoa da
Kiribil; - Serializatutako objektuei HMAC gehitzea deserializazioak jatorrizko aplikazioak gordetako datuak berreskuratzen dituela ziurtatzeko;
- Eskatu erregistratzeko modua;
- Kanpoko fitxategiak libxml-n kargatzea blokeatzea XML dokumentuetako esteken bidez;
- Kanpoko kudeatzaileak konektatzeko gaitasuna (upload_validation) igotako fitxategiak egiaztatzeko eta eskaneatzeko;
Proiektua Frantziako hosting operadore handietako baten azpiegituran erabiltzaileak babesteko sortu eta erabili zen. Snuffleupagus konektatzeak aurten Drupal, WordPress eta phpBB-en identifikatutako ahultasun arriskutsu askoren aurka babestuko luke. Magento eta Horde-ko ahultasunak blokeatu egin daitezke modua gaituta
"sp.readonly_exec.enable()".
Iturria: opennet.ru