ProHoster > Blag > nuacht idirlín > Tá an tionscadal Snuffleupagus ag forbairt modúl PHP chun leochaileachtaí a bhlocáil
Tá an tionscadal Snuffleupagus ag forbairt modúl PHP chun leochaileachtaí a bhlocáil
I dteorainneacha an tionscadail snuffleupagusag forbairt модуль для подключения к интерпретатору PHP7, предназначенный для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать виртуальные патчи для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Модуль написан на языке Си, подключается в форме разделяемой библиотеки («extension=snuffleupagus.so» в php.ini) и dáilte ag ceadúnaithe faoi LGPL 3.0.
Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля входных данных и параметров функций. Например, правило «sp.disable_function.function(«system»).param(«command»).value_r(«[$|;&`\\n]»).drop();» позволяет не изменяя приложения ограничить использование спецсимволов в аргументах функции system(). Аналогично можно создавать paistí fíorúil для блокирования известных уязвимостей.
Судя по проведённым разработчиками тестам Snuffleupagus почти не снижает производительность. Для обеспечения собственной безопасности (возможные уязвимости в прослойке для защиты могут служить дополнительным вектором для атак) в проекте применяется доскональное тестирование каждого коммита в разных дистрибутивах, используются системы статического анализа, код оформляется и документируется для упрощения проведения аудита.
Предоставляются встроенные методы для блокирования таких классов уязвимоcтей, как проблемы, gaolmhar le sraithiú sonraí, neamhshábháilte feidhm PHP mail() a úsáid, ábhar Fianán a sceitheadh le linn ionsaithe XSS, fadhbanna mar gheall ar chomhaid a luchtú le cód inrite (mar shampla, san fhormáid phar), giniúint uimhreacha randamacha ar dhroch-chaighdeán agus ionadú Tógálacha XML mícheart.
Из режимов для повышения защиты PHP поддерживаются:
Cumasaigh go huathoibríoch bratacha "slán" agus "céanna" (cosaint CSRF) le haghaidh Fianáin, criptiú Fianán;
Sraith rialacha ionsuite chun rianta ionsaithe agus comhréiteach feidhmchlár a shainaithint;
Gníomhachtú domhanda éigeantach an "dian" (mar shampla, bacann sé iarracht teaghrán a shonrú agus tú ag súil le luach slánuimhir mar argóint) agus cosaint in aghaidh ionramháil cineál;
Blocáil réamhshocraithe cumhdaigh prótacail (mar shampla, "phar://" a thoirmeasc lena bánliosta sainráite;
Toirmeasc ar chomhaid inscríofa a fhorghníomhú;
Liostaí dubh agus bán le haghaidh eval;
Ag teastáil chun seiceáil teastais TLS a chumasú agus é á úsáid
curl ;
HMAC a chur le réada sraitheacha chun a chinntiú go n-aisghabhann díshraithiú na sonraí arna stóráil ag an mbunfheidhmchlár;
Modh logála ceiste;
Luchtú comhaid sheachtracha i libxml a bhlocáil trí naisc i ndoiciméid XML;
Cumas láimhseálaithe seachtracha a nascadh (upload_validation) chun comhaid uaslódáilte a sheiceáil agus a scanadh;
Проект создан и используется для защиты пользователей в инфраструктуре одного из крупных французских операторов хостинга. Tugtar faoi deara, что просто подключение Snuffleupagus позволило бы защититься от многих опасных уязвимостей, выявленных в этом году в Drupal, WordPress и phpBB. Уязвимости в Magento и Horde могли бы быть блокированы включением режима
«sp.readonly_exec.enable()».