Бир жылдык өнүгүүдөн кийин долбоор чыгаруу , ал PHP7 котормочу үчүн модулду камсыздайт, бул айлана-чөйрөнүн коопсуздугун жакшыртуу жана PHP тиркемелерин иштетүүдө алсыздыктарга алып келген жалпы каталарды бөгөттөө. Модуль да түзүүгө мүмкүндүк берет бардык колдонуучу тиркемелерин жаңыртуу мүмкүн болбогон массалык хостинг системаларында колдонууга ыңгайлуу болгон аялуу тиркеменин баштапкы кодун өзгөртпөстөн конкреттүү көйгөйлөрдү жоюу. Модулдун кошумча чыгымдары минималдуу деп бааланат. Модуль C тилинде жазылган, жалпы китепкана түрүндө туташтырылган (“extension=snuffleupagus.so” php.iniде) жана LGPL 3.0 боюнча лицензияланган.
Snuffleupagus коопсуздукту жакшыртуу үчүн стандарттык шаблондорду колдонууга же киргизилген маалыматтарды жана функциянын параметрлерин көзөмөлдөө үчүн өз эрежелериңизди түзүүгө мүмкүндүк берген эрежелер тутумун камсыз кылат. Мисалы, эреже “sp.disable_function.function(“система”).param(“буйрук”).value_r(“[$|;&`\\n]”).drop();” колдонмону өзгөртпөстөн system() функциясынын аргументтеринде атайын символдорду колдонууну чектөөгө мүмкүндүк берет. Камтылган ыкмалар көйгөйлөр сыяктуу аялуу класстарын бөгөттөө үчүн берилген. маалыматтарды сериялаштыруу менен, PHP mail() функциясын колдонуу, XSS чабуулдары учурунда Cookie мазмунунун агып чыгышы, аткарылуучу код менен файлдарды жүктөөдөгү көйгөйлөр (мисалы, форматта) ), сапатсыз кокус сандарды генерациялоо жана туура эмес XML конструкциялары.
Snuffleupagus тарабынан берилген PHP коопсуздукту жогорулатуу режимдери:
- Cookies үчүн "коопсуз" жана "самесит" (CSRF коргоо) желектерин автоматтык түрдө иштетүү, Cookie;
- Кол салуулардын изин жана тиркемелердин компромисстерин аныктоо үчүн орнотулган эрежелердин жыйындысы;
- мажбурлап глобалдык активдештирүү "" (мисалы, бүтүн санды аргумент катары күтүүдө сапты көрсөтүү аракетин бөгөттөйт) жана ;
- Демейки бөгөттөө (мисалы, тыюу салуу "phar://") алардын ачык ак тизмеси менен;
- Жазууга жарамдуу файлдарды аткарууга тыюу салуу;
- баалоо үчүн кара жана ак тизмелер;
- Колдонууда TLS тастыктамасын текшерүүнү иштетүү үчүн талап кылынат
тармал; - Сериялаштырылган объекттерге HMAC кошуу баштапкы тиркемеде сакталган маалыматтарды сериядан чыгарууну камсыз кылуу үчүн;
- Кирүү режимин суроо;
- XML документтериндеги шилтемелер аркылуу libxmlдеги тышкы файлдарды жүктөөнү бөгөттөө;
- Жүктөлгөн файлдарды текшерүү жана сканерлөө үчүн тышкы иштеткичтерди (upload_validation) туташтыруу мүмкүнчүлүгү;
арасында жаңы чыгарылышта: PHP 7.4 үчүн жакшыртылган колдоо жана учурда иштелип жаткан PHP 8 филиалы менен ишке ашырылган шайкештик syslog аркылуу окуяларды каттоо мүмкүнчүлүгү кошулду (syslog же syslog маанилерин ала турган sp.log_media директивасы кошуу үчүн сунушталат). Эрежелердин демейки топтому жакында аныкталган алсыздыктар үчүн жаңы эрежелерди жана веб-тиркемелерге каршы чабуул ыкмаларын камтуу үчүн жаңыртылган. MacOS үчүн жакшыртылган колдоо жана GitLab негизиндеги үзгүлтүксүз интеграция платформасын кеңейтүү.
Source: opennet.ru