Eftir eins árs þróun verkefnisútgáfu , sem veitir einingu fyrir PHP7 túlkinn til að bæta öryggi umhverfisins og loka fyrir algengar villur sem leiða til veikleika í keyrslu PHP forrita. Einingin gerir þér einnig kleift að búa til til að útrýma sérstökum vandamálum án þess að breyta frumkóða viðkvæma forritsins, sem er þægilegt til notkunar í fjöldahýsingarkerfum þar sem ómögulegt er að halda öllum notendaforritum uppfærðum. Heildarkostnaður við eininguna er áætlaður í lágmarki. Einingin er skrifuð í C, er tengd í formi sameiginlegs bókasafns ("extension=snuffleupagus.so" í php.ini) og leyfi samkvæmt LGPL 3.0.
Snuffleupagus býður upp á reglukerfi sem gerir þér kleift að nota staðlað sniðmát til að bæta öryggi, eða búa til þínar eigin reglur til að stjórna inntaksgögnum og virknibreytum. Til dæmis er reglan „sp.disable_function.function(“system“).param(“command“).value_r(“[$|;&`\\n]“).drop();“ gerir þér kleift að takmarka notkun sértákna í system() falla rökum án þess að breyta forritinu. Innbyggðar aðferðir eru til staðar til að loka á veikleikaflokka eins og vandamál, með raðgreiningu gagna, notkun PHP mail() aðgerðarinnar, leka á vafrakökuinnihaldi við XSS árásir, vandamál vegna hleðslu skráa með keyrslukóða (til dæmis á sniði ), léleg gæði tilviljunarkennd númeramyndun og röng XML smíði.
PHP öryggisaukastillingar sem Snuffleupagus býður upp á:
- Virkja sjálfkrafa „öruggt“ og „samesite“ (CSRF vernd) fána fyrir vafrakökur, Kex;
- Innbyggt sett af reglum til að bera kennsl á ummerki um árásir og málamiðlun forrita;
- Þvinguð alþjóðleg virkjun „" (t.d. hindrar tilraun til að tilgreina streng þegar búist er við heiltölugildi sem rök) og vörn gegn ;
- Sjálfgefin lokun (til dæmis að banna „phar://“) með skýrum hvítlista;
- Bann við að keyra skrár sem eru skrifanlegar;
- Svartur og hvítur listi fyrir eval;
- Nauðsynlegt til að virkja TLS vottorðathugun við notkun
krulla; - Bætir HMAC við raðgreina hluti til að tryggja að afserialization sæki gögnin sem geymd eru af upprunalegu forritinu;
- Biðja um skráningarham;
- Lokað á hleðslu á ytri skrám í libxml með tenglum í XML skjölum;
- Geta til að tengja utanaðkomandi meðhöndlun (upload_validation) til að athuga og skanna upphlaðnar skrár;
Meðal í nýju útgáfunni: Bættur stuðningur við PHP 7.4 og innleiddur eindrægni við PHP 8 útibúið sem nú er í þróun. Bætti við möguleikanum á að skrá atburði í gegnum syslog (sp.log_media tilskipunin er lögð til að vera með, sem getur tekið php eða syslog gildi). Sjálfgefið sett af reglum hefur verið uppfært til að innihalda nýjar reglur fyrir nýlega greindar veikleika og árásartækni gegn vefforritum. Bættur stuðningur við macOS og aukin notkun á samfellda samþættingarvettvangi sem byggir á GitLab.
Heimild: opennet.ru