ProHoster > Blog > nouvèl sou entènèt > Pwojè Snuffleupagus ap devlope yon modil PHP pou bloke frajilite yo

Pwojè Snuffleupagus ap devlope yon modil PHP pou bloke frajilite yo

Nan limit pwojè a snuffleupagus ap devlope yon modil pou konekte ak entèprèt PHP7 la, ki fèt pou amelyore sekirite anviwònman an ak bloke erè komen ki mennen nan frajilite nan kouri aplikasyon PHP. Modil la tou pèmèt ou kreye plak vityèl yo ranje pwoblèm espesifik san yo pa chanje kòd sous aplikasyon an vilnerab, ki se pratik pou itilize nan sistèm hosting mas kote li enposib kenbe tout aplikasyon itilizatè yo ajou. Modil la ekri nan C, konekte nan fòm yon bibliyotèk pataje ("extension=snuffleupagus.so" nan php.ini) ak distribiye pa lisansye anba LGPL 3.0.

Snuffleupagus bay yon sistèm règ ki pèmèt ou sèvi ak modèl estanda pou amelyore sekirite, oswa kreye pwòp règ ou pou kontwole done antre ak paramèt fonksyon. Pou egzanp, règ la "sp.disable_function.function ("sistèm").param ("kòmand").value_r ("[$|;&`\\n]").drop ();" pèmèt ou limite itilizasyon karaktè espesyal nan agiman fonksyon sistèm () san yo pa chanje aplikasyon an. Menm jan an tou, ou ka kreye plak vityèl pou bloke frajilite li te ye.

Jije pa tès yo ki fèt pa devlopè yo, Snuffleupagus diman diminye pèfòmans. Pou asire pwòp sekirite li (frajilite posib nan kouch sekirite a ka sèvi kòm yon vektè adisyonèl pou atak), pwojè a sèvi ak tès konplè sou chak komèt nan distribisyon diferan, sèvi ak sistèm analiz estatik, ak kòd fòma ak dokimante senplifye odit.

Yo bay metòd entegre pou bloke klas frajilite tankou pwoblèm, ki gen rapò ak seri done, ensekirite itilizasyon PHP mail() fonksyon, koule nan kontni Cookie pandan atak XSS, pwoblèm akòz chaje fichye ak kòd ègzekutabl (pa egzanp, nan fòma a). phar), pòv bon jan kalite nimewo o aza jenerasyon ak sibstitisyon konstriksyon XML kòrèk.

Mòd sa yo sipòte pou amelyore sekirite PHP:

  • Aktive otomatikman "sekirite" ak "menm sit" (CSRF pwoteksyon) drapo pou bonbon, chifreman bonbon;
  • Bati-an seri règ yo idantifye tras nan atak ak konpwomi aplikasyon yo;
  • Fòse aktivasyon mondyal la nan "strik" (pa egzanp, bloke yon tantativ pou presize yon fisèl lè w ap tann yon valè nonb antye relatif kòm yon agiman) ak pwoteksyon kont kalite manipilasyon;
  • Default bloke anvlòp pwotokòl (pa egzanp, entèdi "phar://") ak lis blanch klè yo;
  • Entèdiksyon sou egzekite dosye ki ekri;
  • Lis nwa ak blan pou eval;
  • Obligatwa pou pèmèt tcheke sètifika TLS lè w ap itilize
    boukl;

  • Ajoute HMAC nan objè seri pou asire ke deserializasyon rekipere done aplikasyon orijinal la ki estoke;
  • Mande mòd antre;
  • Bloke chaje fichye ekstèn nan libxml atravè lyen nan dokiman XML;
  • Kapasite pou konekte moun kap okipe ekstèn (upload_validation) pou tcheke ak eskane dosye ki telechaje yo;

Pwojè a te kreye epi itilize pou pwoteje itilizatè yo nan enfrastrikti youn nan gwo operatè hosting franse yo. Li te noteki tou senpleman konekte Snuffleupagus ta pwoteje kont anpil nan frajilite danjere yo idantifye ane sa a nan Drupal, WordPress ak phpBB. Vilnerabilite nan Magento ak Horde ta ka bloke pa pèmèt la
"sp.readonly_exec.enable()".

Sous: opennet.ru

Add nouvo kòmantè