XNUMX年間の開発を経て プロジェクトのリリース これは、環境のセキュリティを向上させ、PHP アプリケーションの実行時に脆弱性につながる一般的なエラーをブロックするための PHP7 インタープリター用のモジュールを提供します。このモジュールを使用すると、 脆弱なアプリケーションのソース コードを変更せずに特定の問題を排除するため、すべてのユーザー アプリケーションを最新の状態に保つことが不可能な大規模ホスティング システムでの使用に便利です。モジュールの諸経費は最小限であると推定されます。このモジュールは C で書かれており、共有ライブラリ (php.ini の「extension=snuffleupagus.so」) の形式で接続されており、 LGPL 3.0に基づいてライセンスされています。
Snuffleupagus は、標準テンプレートを使用してセキュリティを向上させたり、独自のルールを作成して入力データや関数パラメータを制御したりできるルール システムを提供します。たとえば、ルール「sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();」アプリケーションを変更せずに、system() 関数の引数での特殊文字の使用を制限できます。組み込みメソッドは、問題などの脆弱性のクラスをブロックするために提供されています。 データのシリアル化を使用すると、 PHP mail() 関数の使用、XSS 攻撃時の Cookie コンテンツの漏洩、実行可能コード (たとえば、 )、低品質の乱数生成、 XML 構造が正しくありません。
Snuffleupagus が提供する PHP セキュリティ拡張モード:
- Cookie の「セキュア」および「同じサイト」(CSRF 保護) フラグを自動的に有効にします。 クッキー;
- 攻撃の痕跡やアプリケーションの侵害を特定するための組み込みルール セット。
- 「」のグローバルな強制アクティベーション" (たとえば、引数として整数値を期待する場合に文字列を指定しようとする試みをブロックします) ;
- デフォルトのブロック (たとえば、「phar://」の禁止) 明示的なホワイトリストによる。
- 書き込み可能なファイルの実行の禁止。
- eval 用のブラックリストとホワイトリスト。
- 使用時に TLS 証明書チェックを有効にするために必要です
カール; - HMAC をシリアル化されたオブジェクトに追加して、逆シリアル化によって元のアプリケーションによって格納されたデータが確実に取得されるようにします。
- クエリログモード。
- XML ドキュメント内のリンクを介した libxml への外部ファイルのロードをブロックします。
- アップロードされたファイルをチェックおよびスキャンするために外部ハンドラー (upload_validation) に接続する機能。
間で 新しいリリースでは: PHP 7.4 のサポートが改善され、現在開発中の PHP 8 ブランチとの互換性が実装されました。syslog 経由でイベントを記録する機能が追加されました (php または syslog 値を取得できる sp.log_media ディレクティブを含めることが提案されています)。デフォルトのルール セットが更新され、最近特定された脆弱性と Web アプリケーションに対する攻撃手法に対応する新しいルールが追加されました。 macOS のサポートが強化され、GitLab に基づく継続的統合プラットフォームの使用が拡大されました。
出所: オープンネット.ru