プロホスト > ブログ > インターネットニュース > PHP アプリケーションの脆弱性をブロックするモジュール Snuffleupagus 0.5.1 のリリース

PHP アプリケーションの脆弱性をブロックするモジュール Snuffleupagus 0.5.1 のリリース

XNUMX年間の開発を経て 公開済み プロジェクトのリリース Snuffleupagus 0.5.1, предоставляющего модуль к интерпретатору PHP7 для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать 仮想パッチ для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Накладные расходы от работы модуля оцениваются как минимальные. Модуль написан на языке Си, подключается в форме разделяемой библиотеки («extension=snuffleupagus.so» в php.ini) и によって配布 LGPL 3.0に基づいてライセンスされています。

Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля входных данных и параметров функций. Например, правило «sp.disable_function.function(«system»).param(«command»).value_r(«[$|;&`\\n]»).drop();» позволяет не изменяя приложения ограничить использование спецсимволов в аргументах функции system(). Предоставляются встроенные методы для блокирования таких классов уязвимоcтей, как проблемы, 関連した データのシリアル化を使用すると、 危険な PHP mail() 関数の使用、XSS 攻撃時の Cookie コンテンツの漏洩、実行可能コード (たとえば、 ファー)、低品質の乱数生成、 置換 XML 構造が正しくありません。

Предоставляемые в Snuffleupagus режимы повышения защиты PHP:

  • Cookie の「セキュア」および「同じサイト」(CSRF 保護) フラグを自動的に有効にします。 暗号化 クッキー;
  • 攻撃の痕跡やアプリケーションの侵害を特定するための組み込みルール セット。
  • 「」のグローバルな強制アクティベーション厳格な" (たとえば、引数として整数値を期待する場合に文字列を指定しようとする試みをブロックします) 型操作;
  • デフォルトのブロック プロトコルラッパー (たとえば、「phar://」の禁止) 明示的なホワイトリストによる。
  • 書き込み可能なファイルの実行の禁止。
  • eval 用のブラックリストとホワイトリスト。
  • 使用時に TLS 証明書チェックを有効にするために必要です
    カール;
  • HMAC をシリアル化されたオブジェクトに追加して、逆シリアル化によって元のアプリケーションによって格納されたデータが確実に取得されるようにします。
  • クエリログモード。
  • XML ドキュメント内のリンクを介した libxml への外部ファイルのロードをブロックします。
  • アップロードされたファイルをチェックおよびスキャンするために外部ハンドラー (upload_validation) に接続する機能。

間で 変化 в новом выпуске: Улучшена поддержка PHP 7.4 и реализована совместимость с находящейся в разработке веткой PHP 8. Добавлена возможность журналирования событий через syslog (для включения предложена директива sp.log_media, которая может принимать значения php или syslog). Обновлён предлагаемый по умолчанию набор правил, в который добавлены новые правила для выявленных в последнее время уязвимостей и техник атак на web-приложения. Улучшена поддержка macOS и расширено применение платформы непрерывной интеграции на базе GitLab.

出所: オープンネット.ru

コメントを追加します