פרויקט Snuffleupagus מפתח מודול PHP לחסימת נקודות תורפה

במסגרת הפרויקט סנאפופגוס מתפתח מודול לחיבור למתורגמן PHP7, שנועד לשפר את אבטחת הסביבה ולחסום שגיאות נפוצות המובילות לפרצות בהפעלת יישומי PHP. המודול גם מאפשר ליצור טלאים וירטואליים לתיקון בעיות ספציפיות מבלי לשנות את קוד המקור של האפליקציה הפגיעה, מה שנוח לשימוש במערכות אירוח המוני שבהן אי אפשר לעדכן את כל יישומי המשתמש. המודול כתוב ב-C, מחובר בצורה של ספרייה משותפת ("extension=snuffleupagus.so" ב-php.ini) ו מופץ על ידי מורשה תחת LGPL 3.0.

Snuffleupagus מספקת מערכת חוקים המאפשרת לך להשתמש בתבניות סטנדרטיות כדי לשפר את האבטחה, או ליצור כללים משלך כדי לשלוט בנתוני קלט ופרמטרים של תפקוד. לדוגמה, הכלל "sp.disable_function.function("system").param("command").value_r("[$|;&`\\n]").drop();" מאפשר לך להגביל את השימוש בתווים מיוחדים בארגומנטים של פונקציית system() מבלי לשנות את היישום. באופן דומה, אתה יכול ליצור תיקונים וירטואליים כדי לחסום פגיעויות ידועות.

אם לשפוט לפי הבדיקות שערכו המפתחים, Snuffleupagus כמעט ולא מפחית את הביצועים. כדי להבטיח את האבטחה שלו (פגיעויות אפשריות בשכבת האבטחה יכולות לשמש וקטור נוסף להתקפות), הפרויקט משתמש בבדיקות יסודיות של כל commit בהפצות שונות, משתמש במערכות ניתוח סטטי, והקוד מעוצב ומתועד כדי לפשט את הביקורת.

שיטות מובנות מסופקות לחסימת מחלקות של פגיעויות כמו בעיות, Связанные עם סידור נתונים, מְסוּכָּן שימוש בפונקציית PHP mail(), דליפה של תוכן Cookie במהלך התקפות XSS, בעיות עקב טעינת קבצים עם קוד הפעלה (לדוגמה, בפורמט פאר), יצירת מספרים אקראי באיכות ירודה ו החלפה בניית XML שגויה.

המצבים הבאים נתמכים כדי לשפר את אבטחת PHP:

• הפעל באופן אוטומטי דגלי "מאבטח" ו-"samesite" (הגנה על CSRF) עבור קובצי Cookie, הצפנה עוגייה;
• מערכת כללים מובנית לזיהוי עקבות של התקפות והתפשרות של יישומים;
• הפעלה גלובלית כפויה של "קַפְּדָנִי" (לדוגמה, חוסם ניסיון לציין מחרוזת כאשר מצפה לערך מספר שלם כארגומנט) והגנה מפני סוג מניפולציה;
• חסימת ברירת מחדל עטיפות פרוטוקול (לדוגמה, איסור על "phar://") עם רשימת ההיתרים המפורשת שלהם;
• איסור על ביצוע קבצים הניתנים לכתיבה;
• רשימות שחור ולבן עבור eval;
• נדרש כדי לאפשר בדיקת אישור TLS בעת השימוש
  סִלְסוּל;

• הוספת HMAC לאובייקטים מסודרים כדי להבטיח שהסידריאליזציה מאחזרת את הנתונים המאוחסנים באפליקציה המקורית;
• בקשת מצב רישום;
• חסימת טעינה של קבצים חיצוניים ב-libxml באמצעות קישורים במסמכי XML;
• יכולת לחבר מטפלים חיצוניים (upload_validation) כדי לבדוק ולסרוק קבצים שהועלו;

הפרויקט נוצר ושימש להגנה על משתמשים בתשתית של אחד ממפעילי האירוח הצרפתיים הגדולים. זה מצויןשפשוט חיבור Snuffleupagus יגן מפני רבות מהחולשות המסוכנות שזוהו השנה בדרופל, וורדפרס ו-phpBB. ניתן לחסום פגיעויות במג'נטו וב-Horde על ידי הפעלת המצב
"sp.readonly_exec.enable()".

מקור: OpenNet.ru