ProHoster > Блог > ព័ត៌មានតាមអ៊ីនធឺណិត > គម្រោង Snuffleupagus កំពុងបង្កើតម៉ូឌុល PHP សម្រាប់ទប់ស្កាត់ភាពងាយរងគ្រោះ

គម្រោង Snuffleupagus កំពុងបង្កើតម៉ូឌុល PHP សម្រាប់ទប់ស្កាត់ភាពងាយរងគ្រោះ

នៅក្នុងព្រំដែននៃគម្រោង snuffleupagus កំពុងអភិវឌ្ឍ модуль для подключения к интерпретатору PHP7, предназначенный для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать виртуальные патчи для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Модуль написан на языке Си, подключается в форме разделяемой библиотеки («extension=snuffleupagus.so» в php.ini) и ចែកចាយ​ដោយ មានអាជ្ញាប័ណ្ណក្រោម LGPL 3.0 ។

Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля входных данных и параметров функций. Например, правило «sp.disable_function.function(«system»).param(«command»).value_r(«[$|;&`\\n]»).drop();» позволяет не изменяя приложения ограничить использование спецсимволов в аргументах функции system(). Аналогично можно создавать បំណះនិម្មិត для блокирования известных уязвимостей.

Судя по проведённым разработчиками тестам Snuffleupagus почти не снижает производительность. Для обеспечения собственной безопасности (возможные уязвимости в прослойке для защиты могут служить дополнительным вектором для атак) в проекте применяется доскональное тестирование каждого коммита в разных дистрибутивах, используются системы статического анализа, код оформляется и документируется для упрощения проведения аудита.

Предоставляются встроенные методы для блокирования таких классов уязвимоcтей, как проблемы, ពាក់ព័ន្ធ ជាមួយនឹងការសៀរៀលទិន្នន័យ, មិនមានសុវត្ថិភាព ការប្រើប្រាស់មុខងារ PHP mail() ការលេចធ្លាយមាតិកាខូគីអំឡុងពេលការវាយប្រហារ XSS បញ្ហាដោយសារការផ្ទុកឯកសារជាមួយកូដដែលអាចប្រតិបត្តិបាន (ឧទាហរណ៍ក្នុងទម្រង់ ផារ) ជំនាន់លេខចៃដន្យដែលមានគុណភាពអន់ និង ការជំនួស រចនាសម្ព័ន្ធ XML មិនត្រឹមត្រូវ។

Из режимов для повышения защиты PHP поддерживаются:

  • បើកទង់ "សុវត្ថិភាព" និង "ដូចគ្នា" (ការការពារ CSRF) ដោយស្វ័យប្រវត្តិសម្រាប់ខូគី, ការអ៊ិនគ្រីប ខូគី;
  • សំណុំនៃច្បាប់ដែលភ្ជាប់មកជាមួយដើម្បីកំណត់អត្តសញ្ញាណដាននៃការវាយប្រហារ និងការសម្របសម្រួលនៃកម្មវិធី។
  • ការធ្វើឱ្យសកម្មជាសកលដោយបង្ខំនៃ "យ៉ាងតឹងរឹង" (ឧទាហរណ៍ រារាំងការប៉ុនប៉ងដើម្បីបញ្ជាក់ខ្សែអក្សរ នៅពេលរំពឹងតម្លៃចំនួនគត់ជាអាគុយម៉ង់) និងការការពារប្រឆាំងនឹង ប្រភេទនៃឧបាយកល។;
  • ការទប់ស្កាត់លំនាំដើម រុំពិធីការ (ឧទាហរណ៍ ការហាមប្រាម "phar://") ជាមួយនឹងបញ្ជីសយ៉ាងច្បាស់លាស់របស់ពួកគេ;
  • ការហាមឃាត់លើការប្រតិបត្តិនៃឯកសារដែលអាចសរសេរបាន;
  • បញ្ជីខ្មៅនិងសសម្រាប់ការវាយតម្លៃ;
  • តម្រូវឱ្យបើកការត្រួតពិនិត្យវិញ្ញាបនបត្រ TLS នៅពេលប្រើ
    curl;

  • ការបន្ថែម HMAC ទៅកាន់វត្ថុដែលមានសៀរៀល ដើម្បីធានាថា deserialization ទាញយកទិន្នន័យដែលបានរក្សាទុកដោយកម្មវិធីដើម។
  • របៀបកត់ត្រាសំណួរ;
  • ការទប់ស្កាត់ការផ្ទុកឯកសារខាងក្រៅនៅក្នុង libxml តាមរយៈតំណភ្ជាប់ក្នុងឯកសារ XML;
  • សមត្ថភាពក្នុងការភ្ជាប់ឧបករណ៍ដោះស្រាយខាងក្រៅ (ការបង្ហោះ_សុពលភាព) ដើម្បីពិនិត្យ និងស្កេនឯកសារដែលបានផ្ទុកឡើង។

Проект создан и используется для защиты пользователей в инфраструктуре одного из крупных французских операторов хостинга. វាត្រូវបានកត់សម្គាល់, что просто подключение Snuffleupagus позволило бы защититься от многих опасных уязвимостей, выявленных в этом году в Drupal, WordPress и phpBB. Уязвимости в Magento и Horde могли бы быть блокированы включением режима
«sp.readonly_exec.enable()».

ប្រភព: opennet.ru

បន្ថែមមតិយោបល់