Ann an crìochan a 'phròiseict модуль для подключения к интерпретатору PHP7, предназначенный для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать виртуальные патчи для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Модуль написан на языке Си, подключается в форме разделяемой библиотеки («extension=snuffleupagus.so» в php.ini) и le cead fo LGPL 3.0.
Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля входных данных и параметров функций. Например, правило «sp.disable_function.function(«system»).param(«command»).value_r(«[$|;&`\\n]»).drop();» позволяет не изменяя приложения ограничить использование спецсимволов в аргументах функции system(). Аналогично можно создавать для блокирования известных уязвимостей.
Судя по проведённым разработчиками тестам Snuffleupagus почти не снижает производительность. Для обеспечения собственной безопасности (возможные уязвимости в прослойке для защиты могут служить дополнительным вектором для атак) в проекте применяется доскональное тестирование каждого коммита в разных дистрибутивах, используются системы статического анализа, код оформляется и документируется для упрощения проведения аудита.
Предоставляются встроенные методы для блокирования таких классов уязвимоcтей, как проблемы, le sreathachadh dàta, cleachdadh a’ ghnìomh PHP mail() , a’ leigeil a-mach susbaint Cookie ri linn ionnsaighean XSS, duilgheadasan ri linn luchdachadh fhaidhlichean le còd so-ghnìomhaichte (mar eisimpleir, san fhòrmat ), gineadh àireamh air thuaiream de dhroch chàileachd agus togail XML ceàrr.
Из режимов для повышения защиты PHP поддерживаются:
- Dèan comas gu fèin-ghluasadach air brataichean “tèarainte” agus “aon làrach” (dìon CSRF) airson briosgaidean, Briosgaidean;
- Seata de riaghailtean togte gus lorgan ionnsaighean agus co-rèiteachadh thagraidhean a chomharrachadh;
- Gnìomhachadh cruinneil èiginneach den "" (mar eisimpleir, a' bacadh oidhirp air sreang a shònrachadh nuair a thathar a' sùileachadh luach iomlan mar argamaid) agus dìon an aghaidh ;
- A 'bacadh gu bunaiteach (mar eisimpleir, casg air "phar: //") leis an liosta geal soilleir aca;
- Toirmeasg air cur an gnìomh faidhlichean a ghabhas sgrìobhadh;
- Liostaichean dubh is geal airson eval;
- Tha feum air gus dearbhadh teisteanais TLS a chomasachadh nuair a thathar a’ cleachdadh
curl; - A’ cur HMAC ri nithean sreathach gus dèanamh cinnteach gun lorgar dì-shreathachadh an dàta a chaidh a stòradh leis an tagradh tùsail;
- Modh logaidh iarrtas;
- A’ bacadh luchdachadh fhaidhlichean a-muigh ann an libxml tro cheanglaichean ann an sgrìobhainnean XML;
- Comas luchd-làimhseachaidh taobh a-muigh a cheangal (upload_validation) gus faidhlichean a chaidh a luchdachadh suas a sgrùdadh agus a sganadh;
Проект создан и используется для защиты пользователей в инфраструктуре одного из крупных французских операторов хостинга. , что просто подключение Snuffleupagus позволило бы защититься от многих опасных уязвимостей, выявленных в этом году в Drupal, WordPress и phpBB. Уязвимости в Magento и Horde могли бы быть блокированы включением режима
«sp.readonly_exec.enable()».
Source: fosgailtenet.ru