ProHoster > Blog > nouvèl sou entènèt > Liberasyon Snuffleupagus 0.5.1, yon modil pou bloke frajilite nan aplikasyon PHP

Liberasyon Snuffleupagus 0.5.1, yon modil pou bloke frajilite nan aplikasyon PHP

Apre yon ane nan devlopman pibliye lage pwojè Snuffleupagus 0.5.1, ki bay yon modil pou entèprèt PHP7 amelyore sekirite anviwònman an ak bloke erè komen ki mennen nan frajilite nan kouri aplikasyon PHP. Modil la tou pèmèt ou kreye plak vityèl elimine pwoblèm espesifik san yo pa chanje kòd sous aplikasyon vilnerab la, ki se pratik pou itilize nan sistèm hosting mas kote li enposib kenbe tout aplikasyon itilizatè yo ajou. Depans anlè modil la yo estime yo minim. Modil la ekri nan C, konekte nan fòm yon bibliyotèk pataje ("extension=snuffleupagus.so" nan php.ini) ak distribiye pa lisansye anba LGPL 3.0.

Snuffleupagus bay yon sistèm règ ki pèmèt ou sèvi ak modèl estanda pou amelyore sekirite, oswa kreye pwòp règ ou pou kontwole done antre ak paramèt fonksyon. Pou egzanp, règ la "sp.disable_function.function ("sistèm").param ("kòmand").value_r ("[$|;&`\\n]").drop ();" pèmèt ou limite itilizasyon karaktè espesyal nan agiman fonksyon sistèm () san yo pa chanje aplikasyon an. Yo bay metòd entegre pou bloke klas frajilite tankou pwoblèm, ki gen rapò ak seri done, ensekirite itilizasyon PHP mail() fonksyon, koule nan kontni Cookie pandan atak XSS, pwoblèm akòz chaje fichye ak kòd ègzekutabl (pa egzanp, nan fòma a). phar), pòv bon jan kalite nimewo o aza jenerasyon ak sibstitisyon konstriksyon XML kòrèk.

Mòd PHP amelyorasyon sekirite ki ofri pa Snuffleupagus:

  • Aktive otomatikman "sekirite" ak "menm sit" (CSRF pwoteksyon) drapo pou bonbon, chifreman bonbon;
  • Bati-an seri règ yo idantifye tras nan atak ak konpwomi aplikasyon yo;
  • Fòse aktivasyon mondyal la nan "strik" (pa egzanp, bloke yon tantativ pou presize yon fisèl lè w ap tann yon valè nonb antye relatif kòm yon agiman) ak pwoteksyon kont kalite manipilasyon;
  • Default bloke anvlòp pwotokòl (pa egzanp, entèdi "phar://") ak lis blanch klè yo;
  • Entèdiksyon sou egzekite dosye ki ekri;
  • Lis nwa ak blan pou eval;
  • Obligatwa pou pèmèt tcheke sètifika TLS lè w ap itilize
    boukl;
  • Ajoute HMAC nan objè seri pou asire ke deserializasyon rekipere done aplikasyon orijinal la ki estoke;
  • Mande mòd antre;
  • Bloke chaje fichye ekstèn nan libxml atravè lyen nan dokiman XML;
  • Kapasite pou konekte moun kap okipe ekstèn (upload_validation) pou tcheke ak eskane dosye ki telechaje yo;

Pami chanjman nan nouvo lage a: Amelyore sipò pou PHP 7.4 ak aplike konpatibilite ak filyal PHP 8 nan devlopman kounye a. Te ajoute kapasite nan konekte evènman atravè syslog (yo pwopoze direktiv sp.log_media pou enklizyon, ki ka pran valè php oswa syslog). Ansanm règ default yo te mete ajou pou mete nouvo règ pou frajilite yo te idantifye dènyèman ak teknik atak kont aplikasyon entènèt yo. Amelyore sipò pou macOS ak itilizasyon elaji platfòm entegrasyon kontinyèl ki baze sou GitLab.

Sous: opennet.ru

Add nouvo kòmantè