Dopo un anno di sviluppo rilascio del progetto , che fornisce un modulo per l'interprete PHP7 per migliorare la sicurezza dell'ambiente e bloccare errori comuni che portano a vulnerabilità nell'esecuzione delle applicazioni PHP. Il modulo consente anche di creare per eliminare problemi specifici senza modificare il codice sorgente dell'applicazione vulnerabile, il che è conveniente per l'utilizzo nei sistemi di hosting di massa dove è impossibile mantenere aggiornate tutte le applicazioni utente. Si stima che i costi generali del modulo siano minimi. Il modulo è scritto in C, è connesso sotto forma di libreria condivisa (“extension=snuffleupagus.so” in php.ini) e concesso in licenza con LGPL 3.0.
Snuffleupagus fornisce un sistema di regole che ti consente di utilizzare modelli standard per migliorare la sicurezza o creare regole personalizzate per controllare i dati di input e i parametri di funzione. Ad esempio, la regola “sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” consente di limitare l'uso di caratteri speciali negli argomenti della funzione system() senza modificare l'applicazione. Vengono forniti metodi integrati per bloccare classi di vulnerabilità come problemi, con serializzazione dei dati, utilizzo della funzione PHP mail(), fuga del contenuto dei Cookie durante attacchi XSS, problemi dovuti al caricamento di file con codice eseguibile (ad esempio, nel formato ), generazione di numeri casuali di scarsa qualità e costrutti XML errati.
Modalità di miglioramento della sicurezza PHP fornite da Snuffleupagus:
- Abilita automaticamente i flag "sicuro" e "samesite" (protezione CSRF) per i cookie, biscotto;
- Set di regole integrato per identificare tracce di attacchi e compromissione delle applicazioni;
- Attivazione globale forzata del "" (ad esempio, blocca un tentativo di specificare una stringa quando si prevede un valore intero come argomento) e protezione contro ;
- Blocco per impostazione predefinita (ad esempio, vietando "phar://") con la loro esplicita whitelist;
- Divieto di eseguire file scrivibili;
- Liste bianche e nere per la valutazione;
- Necessario per abilitare il controllo del certificato TLS durante l'utilizzo
arricciare; - Aggiunta di HMAC agli oggetti serializzati per garantire che la deserializzazione recuperi i dati archiviati dall'applicazione originale;
- Richiedi modalità di registrazione;
- Blocco del caricamento di file esterni in libxml tramite collegamenti in documenti XML;
- Possibilità di connettere gestori esterni (upload_validation) per controllare e scansionare i file caricati;
Tra nella nuova release: Migliorato il supporto per PHP 7.4 e implementata la compatibilità con il ramo PHP 8 attualmente in sviluppo. Aggiunta la possibilità di loggare eventi tramite syslog (viene proposta per l'inclusione la direttiva sp.log_media, che può assumere valori php o syslog). Il set di regole predefinito è stato aggiornato per includere nuove regole per le vulnerabilità identificate di recente e le tecniche di attacco contro le applicazioni web. Supporto migliorato per macOS e utilizzo ampliato della piattaforma di integrazione continua basata su GitLab.
Fonte: opennet.ru