Snuffleupagus პროექტი ავითარებს PHP მოდულს დაუცველობის დაბლოკვისთვის

პროექტის ფარგლებში სნაფლეუპაგი ვითარდება მოდული PHP7 თარჯიმანთან დასაკავშირებლად, რომელიც შექმნილია გარემოს უსაფრთხოების გასაუმჯობესებლად და საერთო შეცდომების დასაბლოკად, რაც იწვევს დაუცველობას PHP აპლიკაციების გაშვებაში. მოდული ასევე საშუალებას გაძლევთ შექმნათ ვირტუალური პატჩები კონკრეტული პრობლემების გადასაჭრელად დაუცველი აპლიკაციის კოდის შეცვლის გარეშე, რაც მოსახერხებელია მასობრივი ჰოსტინგის სისტემებში გამოსაყენებლად, სადაც შეუძლებელია მომხმარებლის ყველა აპლიკაციის განახლება. მოდული დაწერილია C-ზე, დაკავშირებულია საერთო ბიბლიოთეკის სახით (“extension=snuffleupagus.so” php.ini-ში) და ვრცელდება ლიცენზირებული LGPL 3.0-ით.

Snuffleupagus გთავაზობთ წესების სისტემას, რომელიც საშუალებას გაძლევთ გამოიყენოთ სტანდარტული შაბლონები უსაფრთხოების გასაუმჯობესებლად, ან შექმნათ თქვენი საკუთარი წესები შეყვანის მონაცემებისა და ფუნქციის პარამეტრების გასაკონტროლებლად. მაგალითად, წესი "sp.disable_function.function("system").param("ბრძანება").value_r("[$|;&`\\n]").drop();" საშუალებას გაძლევთ შეზღუდოთ სპეციალური სიმბოლოების გამოყენება system() ფუნქციის არგუმენტებში აპლიკაციის შეცვლის გარეშე. ანალოგიურად, შეგიძლიათ შექმნათ ვირტუალური პატჩები ცნობილი დაუცველობის დაბლოკვა.

დეველოპერების მიერ ჩატარებული ტესტების მიხედვით ვიმსჯელებთ, Snuffleupagus თითქმის არ ამცირებს შესრულებას. საკუთარი უსაფრთხოების უზრუნველსაყოფად (უსაფრთხოების ფენის შესაძლო დაუცველობა შეიძლება გახდეს თავდასხმების დამატებითი ვექტორი), პროექტი იყენებს თითოეული ჩადენის საფუძვლიან ტესტირებას სხვადასხვა განაწილებაში, იყენებს სტატიკური ანალიზის სისტემებს, ხოლო კოდი ფორმატირებული და დოკუმენტირებულია აუდიტის გასამარტივებლად.

ჩაშენებული მეთოდები მოწოდებულია მოწყვლადობის კლასების დასაბლოკად, როგორიცაა პრობლემები, დაკავშირებული მონაცემთა სერიულიზაციით, სახიფათო PHP mail() ფუნქციის გამოყენება, ქუქიების შიგთავსის გაჟონვა XSS შეტევების დროს, პრობლემები ფაილების შესრულებადი კოდით ჩატვირთვის გამო (მაგალითად, ფორმატში ფარ), უხარისხო შემთხვევითი რიცხვების გენერირება და ცვლილება არასწორი XML კონსტრუქციები.

შემდეგი რეჟიმები მხარდაჭერილია PHP უსაფრთხოების გასაძლიერებლად:

• ავტომატურად ჩართეთ „უსაფრთხო“ და „იგივე საიტის“ (CSRF დაცვა) დროშები ქუქიებისთვის, შიფრაცია ფუნთუშა;
• ჩაშენებული წესების ნაკრები თავდასხმების კვალის და აპლიკაციების კომპრომისის გამოსავლენად;
• იძულებითი გლობალური გააქტიურება "მკაცრი" (მაგალითად, ბლოკავს სტრიქონის მითითების მცდელობას არგუმენტად მთელი რიცხვის მოლოდინში) და დაცვას ტიპის მანიპულირება;
• ნაგულისხმევი ბლოკირება პროტოკოლის შეფუთვები (მაგალითად, "phar://"-ის აკრძალვა) მათი აშკარა თეთრი სიაში;
• ჩასაწერი ფაილების შესრულების აკრძალვა;
• შავი და თეთრი სიები eval-ისთვის;
• საჭიროა TLS სერთიფიკატის შემოწმების ჩასართავად გამოყენებისას
  დახვევა;

• HMAC-ის დამატება სერიულ ობიექტებზე, რათა უზრუნველყოს დესერიალიზაცია ორიგინალური აპლიკაციის მიერ შენახული მონაცემების მოძიებას;
• მოითხოვეთ ჟურნალის რეჟიმი;
• libxml-ში გარე ფაილების ჩატვირთვის დაბლოკვა XML დოკუმენტებში ბმულების საშუალებით;
• გარე დამმუშავებლების (upload_validation) დაკავშირების შესაძლებლობა ატვირთული ფაილების შესამოწმებლად და სკანირებისთვის;

პროექტი შეიქმნა და გამოიყენებოდა მომხმარებლების დასაცავად ერთ-ერთი მსხვილი ფრანგული ჰოსტინგის ოპერატორის ინფრასტრუქტურაში. აღინიშნებარომ Snuffleupagus-ის უბრალოდ დაკავშირება დაიცავს მრავალი სახიფათო დაუცველობისგან, რომელიც გამოვლინდა წელს Drupal-ში, WordPress-სა და phpBB-ში. დაუცველობა Magento-სა და Horde-ში შეიძლება დაიბლოკოს რეჟიმის ჩართვით
"sp.readonly_exec.enable()".

წყარო: opennet.ru