Nei in jier fan ûntwikkeling projekt release , dy't in module foar de PHP7-tolk leveret om de feiligens fan 'e omjouwing te ferbetterjen en mienskiplike flaters te blokkearjen dy't liede ta kwetsberens by it útfieren fan PHP-applikaasjes. De module kinne jo ek meitsje om spesifike problemen te eliminearjen sûnder de boarnekoade fan 'e kwetsbere applikaasje te feroarjen, wat handich is foar gebrûk yn massa-hostingsystemen wêr't it ûnmooglik is om alle brûkersapplikaasjes aktueel te hâlden. De overheadkosten fan 'e module wurde rûsd minimaal te wêzen. De module is skreaun yn C, is ferbûn yn 'e foarm fan in dielde bibleteek ("extension=snuffleupagus.so" yn php.ini) en lisinsje ûnder LGPL 3.0.
Snuffleupagus jout in regels systeem wêrmei jo te brûken standert sjabloanen te ferbetterjen feiligens, of meitsje dyn eigen regels foar in kontrôle ynfier gegevens en funksje parameters. Bygelyks, de regel "sp.disable_function.function("system").param("kommando").value_r("[$|;&`\\n]").drop();" kinne jo beheine it brûken fan spesjale tekens yn systeem () funksje arguminten sûnder feroarjen de applikaasje. Ynboude metoaden wurde levere om klassen fan kwetsberens te blokkearjen, lykas problemen, mei serialisaasje fan gegevens, gebrûk fan de PHP-post()-funksje, lekkage fan Cookie-ynhâld by XSS-oanfallen, problemen troch it laden fan triemmen mei útfierbere koade (bygelyks yn it formaat ), minne kwaliteit willekeurige getal generaasje en ferkearde XML-konstruksjes.
PHP-modi foar ferbettering fan befeiliging levere troch Snuffleupagus:
- Automatysk "feilige" en "samesite" (CSRF-beskerming) flaggen ynskeakelje foar cookies, Koekje;
- Ynboude set regels om spoaren fan oanfallen en kompromis fan applikaasjes te identifisearjen;
- Forced globale aktivearring fan 'e "" (Blokkeart bygelyks in besykjen om in tekenrige op te jaan by it ferwachtsjen fan in heule getal wearde as argumint) en beskerming tsjin ;
- Standert blokkearje (bygelyks ferbean "phar://") mei harren eksplisite whitelisting;
- Ferbod op it útfieren fan triemmen dy't skriuwber binne;
- Swarte en wite listen foar eval;
- Fereaske om TLS-sertifikaatkontrôle yn te skeakeljen by it brûken
curl; - It tafoegjen fan HMAC oan serialisearre objekten om te soargjen dat deserialisaasje de gegevens opslein troch de orizjinele applikaasje ophelje;
- Logging modus oanfreegje;
- Blokkearje fan laden fan eksterne bestannen yn libxml fia keppelings yn XML-dokuminten;
- Mooglikheid om eksterne handlers te ferbinen (upload_validation) om uploadde bestannen te kontrolearjen en te scannen;
Under de yn 'e nije release: Ferbettere stipe foar PHP 7.4 en ymplementearre kompatibiliteit mei de PHP 8-tûke dy't op it stuit yn ûntwikkeling is. De mooglikheid tafoege om eveneminten te loggen fia syslog (de sp.log_media-rjochtline wurdt foarsteld foar opname, dy't php- as syslog-wearden kin nimme). De standert set regels is bywurke om nije regels op te nimmen foar koartlyn identifisearre kwetsberens en oanfalstechniken tsjin webapplikaasjes. Ferbettere stipe foar macOS en útwreide gebrûk fan it trochgeande yntegraasjeplatfoarm basearre op GitLab.
Boarne: opennet.ru