Sawise setahun pembangunan release proyek , sing nyedhiyakake modul kanggo interpreter PHP7 kanggo nambah keamanan lingkungan lan mblokir kesalahan umum sing nyebabake kerentanan ing aplikasi PHP. Modul uga ngidini sampeyan nggawe kanggo ngilangi masalah tartamtu tanpa ngganti kode sumber aplikasi sing rawan, sing trep digunakake ing sistem hosting massal sing ora bisa nganyari kabeh aplikasi pangguna. Biaya nduwur sirah modul ditaksir minimal. Modul kasebut ditulis ing C, disambungake ing wangun perpustakaan sing dienggo bareng ("extension=snuffleupagus.so" ing php.ini) lan dilisensi ing LGPL 3.0.
Snuffleupagus menehi sistem aturan sing ngijini sampeyan kanggo nggunakake Cithakan standar kanggo nambah keamanan, utawa nggawe aturan dhewe kanggo kontrol data input lan paramèter fungsi. Contone, aturan "sp.disable_function.function("system").param("command").value_r("[$|;&`\\n]").drop();" ngijini sampeyan kanggo matesi nggunakake karakter khusus ing sistem () bantahan fungsi tanpa ngganti aplikasi. Cara sing dibangun kasedhiya kanggo mblokir kelas kerentanan kayata masalah, kanthi serialisasi data, nggunakake fungsi PHP mail(), bocor isi Cookie sajrone serangan XSS, masalah amarga ngemot file kanthi kode eksekusi (contone, ing format ), kualitas miskin nomer acak generasi lan konstruksi XML sing salah.
Mode peningkatan keamanan PHP sing diwenehake dening Snuffleupagus:
- Ngaktifake bendera "aman" lan "samesite" (proteksi CSRF) kanthi otomatis kanggo Cookie, cookie;
- Aturan sing dibangun kanggo ngenali jejak serangan lan kompromi aplikasi;
- Aktivasi global paksa "" (contone, mblokir upaya kanggo nemtokake string nalika ngarepake nilai integer minangka argumen) lan proteksi marang ;
- Pamblokiran kanthi gawan (contone, nglarang "phar: //") kanthi daftar putih sing jelas;
- Larangan kanggo ngeksekusi file sing bisa ditulis;
- Dhaptar ireng lan putih kanggo eval;
- Dibutuhake kanggo ngaktifake mriksa sertifikat TLS nalika nggunakake
nggulung; - Nambahake HMAC menyang obyek serial kanggo mesthekake yen deserialization njupuk data sing disimpen dening aplikasi asli;
- Panjaluk mode logging;
- Mblokir loading file eksternal ing libxml liwat pranala ing dokumen XML;
- Kemampuan kanggo nyambungake panangan eksternal (upload_validation) kanggo mriksa lan mindhai file sing diunggah;
Antarane ing release anyar: Apik support kanggo PHP 7.4 lan dileksanakake kompatibilitas karo cabang PHP 8 saiki ing pembangunan. Nambahake kemampuan kanggo log acara liwat syslog (direktif sp.log_media ngajokaken kanggo Gawan, kang bisa njupuk php utawa syslog nilai). Sekumpulan aturan standar wis dianyari kanggo nyakup aturan anyar kanggo kerentanan sing bubar diidentifikasi lan teknik serangan marang aplikasi web. Dhukungan sing luwih apik kanggo macOS lan panggunaan platform integrasi terus-terusan adhedhasar GitLab.
Source: opennet.ru