ProHoster > وبلاگ > اخبار اینترنتی > انتشار Snuffleupagus 0.5.1، ماژولی برای مسدود کردن آسیبپذیریها در برنامههای PHP
انتشار Snuffleupagus 0.5.1، ماژولی برای مسدود کردن آسیبپذیریها در برنامههای PHP
پس از یک سال توسعه منتشر شد انتشار پروژه Snuffleupagus 0.5.1، که ماژولی را برای مفسر PHP7 فراهم می کند تا امنیت محیط را بهبود بخشد و خطاهای رایجی که منجر به آسیب پذیری در اجرای برنامه های PHP می شود را مسدود کند. ماژول همچنین به شما اجازه ایجاد می دهد پچ های مجازی برای از بین بردن مشکلات خاص بدون تغییر کد منبع برنامه آسیب پذیر، که برای استفاده در سیستم های میزبانی انبوه که در آن به روز نگه داشتن همه برنامه های کاربر غیرممکن است، راحت است. هزینه های سربار ماژول حداقل برآورد می شود. ماژول به زبان C نوشته شده است، به شکل یک کتابخانه مشترک ("extension=snuffleupagus.so" در php.ini) وصل شده است. توزیع شده توسط دارای مجوز LGPL 3.0.
Snuffleupagus یک سیستم قوانین را ارائه می دهد که به شما امکان می دهد از الگوهای استاندارد برای بهبود امنیت استفاده کنید یا قوانین خود را برای کنترل داده های ورودی و پارامترهای عملکرد ایجاد کنید. به عنوان مثال، قانون "sp.disable_function.function("system").param("command").value_r("[$|;&`\\n]").drop();" به شما اجازه می دهد تا بدون تغییر برنامه، استفاده از کاراکترهای خاص را در آرگومان های تابع system() محدود کنید. روشهای داخلی برای مسدود کردن کلاسهایی از آسیبپذیریها مانند مسائل، مربوط با سریال سازی داده ها، ناامن استفاده از تابع mail() PHP، نشت محتویات کوکی در حین حملات XSS، مشکلات ناشی از بارگیری فایل ها با کد اجرایی (به عنوان مثال، در قالب phar) تولید اعداد تصادفی بی کیفیت و جایگزینی ساختارهای XML نادرست
حالت های بهبود امنیت PHP ارائه شده توسط Snuffleupagus:
بهطور خودکار پرچمهای «امن» و «همسایت» (محافظت CSRF) را برای کوکیها فعال کنید، رمزگذاری کوکی؛
مجموعه ای از قوانین داخلی برای شناسایی آثار حملات و به خطر انداختن برنامه ها؛
فعال سازی جهانی اجباری "سخت" (به عنوان مثال، تلاش برای تعیین یک رشته در هنگام انتظار یک مقدار صحیح به عنوان آرگومان را مسدود می کند) و محافظت در برابر دستکاری نوع;
مسدود کردن پیش فرض بسته بندی های پروتکل (به عنوان مثال، ممنوع کردن "phar://") با درج سفید صریح آنها.
ممنوعیت اجرای فایل هایی که قابل نوشتن هستند.
لیست سیاه و سفید برای eval;
برای فعال کردن بررسی گواهی TLS هنگام استفاده لازم است
حلقه؛
افزودن HMAC به اشیاء سریالسازی شده برای اطمینان از اینکه سریالزدایی دادههای ذخیرهشده توسط برنامه اصلی را بازیابی میکند.
درخواست حالت ورود به سیستم؛
مسدود کردن بارگذاری فایل های خارجی در libxml از طریق پیوندهای موجود در اسناد XML.
امکان اتصال کنترل کننده های خارجی (upload_validation) برای بررسی و اسکن فایل های آپلود شده.
در میان تغییر می کند در نسخه جدید: بهبود پشتیبانی از PHP 7.4 و سازگاری پیاده سازی شده با شاخه PHP 8 که در حال حاضر در حال توسعه است. قابلیت ثبت رویدادها از طریق syslog اضافه شده است (دستورالعمل sp.log_media برای گنجاندن پیشنهاد شده است که می تواند مقادیر php یا syslog را بگیرد). مجموعه پیشفرض قوانین بهروزرسانی شده است تا شامل قوانین جدیدی برای آسیبپذیریهای اخیراً شناساییشده و تکنیکهای حمله علیه برنامههای وب باشد. پشتیبانی بهبود یافته از macOS و استفاده گسترده از پلتفرم یکپارچه سازی پیوسته مبتنی بر GitLab.