Setelah satu tahun pembangunan pelepasan proyek , yang menyediakan modul untuk juru bahasa PHP7 untuk meningkatkan keamanan lingkungan dan memblokir kesalahan umum yang menyebabkan kerentanan dalam menjalankan aplikasi PHP. Modul ini juga memungkinkan Anda membuat untuk menghilangkan masalah tertentu tanpa mengubah kode sumber aplikasi yang rentan, yang nyaman untuk digunakan dalam sistem hosting massal di mana tidak mungkin untuk selalu memperbarui semua aplikasi pengguna. Biaya overhead modul diperkirakan minimal. Modul ditulis dalam C, terhubung dalam bentuk perpustakaan bersama (βextension=snuffleupagus.soβ di php.ini) dan berlisensi di bawah LGPL 3.0.
Snuffleupagus menyediakan sistem aturan yang memungkinkan Anda menggunakan templat standar untuk meningkatkan keamanan, atau membuat aturan Anda sendiri untuk mengontrol data input dan parameter fungsi. Misalnya, aturan βsp.disable_function.function(βsystemβ).param(βcommandβ).value_r(β[$|;&`\\n]β).drop();β memungkinkan Anda membatasi penggunaan karakter khusus dalam argumen fungsi system() tanpa mengubah aplikasi. Metode bawaan disediakan untuk memblokir kelas kerentanan seperti masalah, dengan serialisasi data, penggunaan fungsi PHP mail(), kebocoran konten Cookie selama serangan XSS, masalah karena memuat file dengan kode yang dapat dieksekusi (misalnya, dalam format ), pembuatan bilangan acak berkualitas buruk dan konstruksi XML yang salah.
Mode peningkatan keamanan PHP yang disediakan oleh Snuffleupagus:
- Secara otomatis mengaktifkan tanda "aman" dan "situs yang sama" (perlindungan CSRF) untuk Cookie, Kue kering;
- Seperangkat aturan bawaan untuk mengidentifikasi jejak serangan dan penyusupan aplikasi;
- Aktivasi global paksa dari "" (misalnya, memblokir upaya untuk menentukan string ketika mengharapkan nilai integer sebagai argumen) dan perlindungan terhadapnya ;
- Pemblokiran bawaan (misalnya, melarang "phar://") dengan memasukkan daftar putihnya secara eksplisit;
- Larangan mengeksekusi file yang dapat ditulisi;
- Daftar hitam putih untuk evaluasi;
- Diperlukan untuk mengaktifkan pemeriksaan sertifikat TLS saat menggunakan
keriting; - Menambahkan HMAC ke objek serial untuk memastikan bahwa deserialisasi mengambil data yang disimpan oleh aplikasi asli;
- Minta mode pencatatan;
- Memblokir pemuatan file eksternal di libxml melalui tautan dalam dokumen XML;
- Kemampuan untuk menghubungkan penangan eksternal (upload_validation) untuk memeriksa dan memindai file yang diunggah;
antara dalam rilis baru: Peningkatan dukungan untuk PHP 7.4 dan penerapan kompatibilitas dengan cabang PHP 8 yang sedang dikembangkan. Menambahkan kemampuan untuk mencatat peristiwa melalui syslog (direktif sp.log_media diusulkan untuk dimasukkan, yang dapat mengambil nilai php atau syslog). Kumpulan aturan default telah diperbarui untuk menyertakan aturan baru untuk kerentanan yang baru diidentifikasi dan teknik serangan terhadap aplikasi web. Peningkatan dukungan untuk macOS dan perluasan penggunaan platform integrasi berkelanjutan berdasarkan GitLab.
Sumber: opennet.ru