🥇Проект Snuffleupagus развивает PHP-модуль для блокирования уязвимостей

Ing wates proyek snuffleupagus berkembang модуль для подключения к интерпретатору PHP7, предназначенный для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать виртуальные патчи для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Модуль написан на языке Си, подключается в форме разделяемой библиотеки («extension=snuffleupagus.so» в php.ini) и disebarake dening dilisensi ing LGPL 3.0.

Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля входных данных и параметров функций. Например, правило «sp.disable_function.function(«system»).param(«command»).value_r(«[$|;&`\\n]»).drop();» позволяет не изменяя приложения ограничить использование спецсимволов в аргументах функции system(). Аналогично можно создавать patches virtual для блокирования известных уязвимостей.

Судя по проведённым разработчиками тестам Snuffleupagus почти не снижает производительность. Для обеспечения собственной безопасности (возможные уязвимости в прослойке для защиты могут служить дополнительным вектором для атак) в проекте применяется доскональное тестирование каждого коммита в разных дистрибутивах, используются системы статического анализа, код оформляется и документируется для упрощения проведения аудита.

Предоставляются встроенные методы для блокирования таких классов уязвимоcтей, как проблемы, gegandhengan kanthi serialisasi data, ora aman nggunakake fungsi PHP mail(), bocor isi Cookie sajrone serangan XSS, masalah amarga ngemot file kanthi kode eksekusi (contone, ing format phar), kualitas miskin nomer acak generasi lan substitusi konstruksi XML sing salah.

Из режимов для повышения защиты PHP поддерживаются:

Ngaktifake bendera "aman" lan "samesite" (proteksi CSRF) kanthi otomatis kanggo Cookie, enkripsi cookie;
Aturan sing dibangun kanggo ngenali jejak serangan lan kompromi aplikasi;
Aktivasi global paksa "ketat" (contone, mblokir upaya kanggo nemtokake string nalika ngarepake nilai integer minangka argumen) lan proteksi marang manipulasi jinis;
Pamblokiran kanthi gawan pambungkus protokol (contone, nglarang "phar: //") kanthi daftar putih sing jelas;
Larangan kanggo ngeksekusi file sing bisa ditulis;
Dhaptar ireng lan putih kanggo eval;
Dibutuhake kanggo ngaktifake mriksa sertifikat TLS nalika nggunakake
nggulung;
Nambahake HMAC menyang obyek serial kanggo mesthekake yen deserialization njupuk data sing disimpen dening aplikasi asli;
Panjaluk mode logging;
Mblokir loading file eksternal ing libxml liwat pranala ing dokumen XML;
Kemampuan kanggo nyambungake panangan eksternal (upload_validation) kanggo mriksa lan mindhai file sing diunggah;

Проект создан и используется для защиты пользователей в инфраструктуре одного из крупных французских операторов хостинга. Wis kacathet, что просто подключение Snuffleupagus позволило бы защититься от многих опасных уязвимостей, выявленных в этом году в Drupal, WordPress и phpBB. Уязвимости в Magento и Horde могли бы быть блокированы включением режима
«sp.readonly_exec.enable()».

Source: opennet.ru

Proyek Snuffleupagus ngembangake modul PHP kanggo mblokir kerentanan

Add a comment Отменить ответ