🥇Snuffleupagus 0.5.1-ის გამოშვება, მოდული PHP აპლიკაციებში დაუცველობის დაბლოკვისთვის

განვითარების ერთი წლის შემდეგ გამოქვეყნებული პროექტის გამოშვება Snuffleupagus 0.5.1, რომელიც უზრუნველყოფს მოდულს PHP7 თარჯიმანისთვის, რათა გააუმჯობესოს გარემოს უსაფრთხოება და დაბლოკოს საერთო შეცდომები, რომლებიც იწვევს დაუცველობას PHP აპლიკაციების გაშვებაში. მოდული ასევე გაძლევთ საშუალებას შექმნათ ვირტუალური პატჩები კონკრეტული პრობლემების აღმოფხვრა დაუცველი აპლიკაციის საწყისი კოდის შეცვლის გარეშე, რაც მოსახერხებელია მასობრივი ჰოსტინგის სისტემებში გამოსაყენებლად, სადაც შეუძლებელია მომხმარებლის ყველა აპლიკაციის განახლება. მოდულის ზედნადები ხარჯები შეფასებულია მინიმალური. მოდული დაწერილია C-ზე, დაკავშირებულია საერთო ბიბლიოთეკის სახით (“extension=snuffleupagus.so” php.ini-ში) და ვრცელდება ლიცენზირებული LGPL 3.0-ით.

Snuffleupagus გთავაზობთ წესების სისტემას, რომელიც საშუალებას გაძლევთ გამოიყენოთ სტანდარტული შაბლონები უსაფრთხოების გასაუმჯობესებლად, ან შექმნათ თქვენი საკუთარი წესები შეყვანის მონაცემებისა და ფუნქციის პარამეტრების გასაკონტროლებლად. მაგალითად, წესი "sp.disable_function.function("system").param("ბრძანება").value_r("[$|;&`\\n]").drop();" საშუალებას გაძლევთ შეზღუდოთ სპეციალური სიმბოლოების გამოყენება system() ფუნქციის არგუმენტებში აპლიკაციის შეცვლის გარეშე. ჩაშენებული მეთოდები მოწოდებულია მოწყვლადობის კლასების დასაბლოკად, როგორიცაა პრობლემები, დაკავშირებული მონაცემთა სერიულიზაციით, სახიფათო PHP mail() ფუნქციის გამოყენება, ქუქიების შიგთავსის გაჟონვა XSS შეტევების დროს, პრობლემები ფაილების შესრულებადი კოდით ჩატვირთვის გამო (მაგალითად, ფორმატში ფარ), უხარისხო შემთხვევითი რიცხვების გენერირება და ცვლილება არასწორი XML კონსტრუქციები.

PHP უსაფრთხოების გაუმჯობესების რეჟიმები, რომლებიც მოწოდებულია Snuffleupagus-ის მიერ:

ავტომატურად ჩართეთ „უსაფრთხო“ და „იგივე საიტის“ (CSRF დაცვა) დროშები ქუქიებისთვის, შიფრაცია ფუნთუშა;
ჩაშენებული წესების ნაკრები თავდასხმების კვალის და აპლიკაციების კომპრომისის გამოსავლენად;
იძულებითი გლობალური გააქტიურება "მკაცრი" (მაგალითად, ბლოკავს სტრიქონის მითითების მცდელობას არგუმენტად მთელი რიცხვის მოლოდინში) და დაცვას ტიპის მანიპულირება;
ნაგულისხმევი ბლოკირება პროტოკოლის შეფუთვები (მაგალითად, "phar://"-ის აკრძალვა) მათი აშკარა თეთრი სიაში;
ჩასაწერი ფაილების შესრულების აკრძალვა;
შავი და თეთრი სიები eval-ისთვის;
საჭიროა TLS სერთიფიკატის შემოწმების ჩასართავად გამოყენებისას
დახვევა;
HMAC-ის დამატება სერიულ ობიექტებზე, რათა უზრუნველყოს დესერიალიზაცია ორიგინალური აპლიკაციის მიერ შენახული მონაცემების მოძიებას;
მოითხოვეთ ჟურნალის რეჟიმი;
libxml-ში გარე ფაილების ჩატვირთვის დაბლოკვა XML დოკუმენტებში ბმულების საშუალებით;
გარე დამმუშავებლების (upload_validation) დაკავშირების შესაძლებლობა ატვირთული ფაილების შესამოწმებლად და სკანირებისთვის;

შორის ცვლილებები ახალ ვერსიაში: PHP 7.4-ის გაუმჯობესებული მხარდაჭერა და დანერგილი თავსებადობა PHP 8-ის ფილიალთან, რომელიც ამჟამად დამუშავების პროცესშია. დამატებულია მოვლენების აღრიცხვის შესაძლებლობა syslog-ის მეშვეობით (შემოთავაზებულია sp.log_media დირექტივა ჩასართავად, რომელსაც შეუძლია მიიღოს php ან syslog მნიშვნელობები). წესების ნაგულისხმევი ნაკრები განახლდა, რათა შეიცავდეს ახალ წესებს ახლახან გამოვლენილი დაუცველობისთვის და ვებ აპლიკაციების წინააღმდეგ თავდასხმის ტექნიკისთვის. macOS-ის გაუმჯობესებული მხარდაჭერა და GitLab-ზე დაფუძნებული უწყვეტი ინტეგრაციის პლატფორმის გაფართოებული გამოყენება.

წყარო: opennet.ru

Snuffleupagus 0.5.1-ის გამოშვება, მოდული PHP აპლიკაციებში დაუცველობის დაბლოკვისთვის

ახალი კომენტარის დამატება პასუხის გასაუქმებლად

ახალი კომენტარის დამატება