An de Grenze vum Projet e Modul fir mat dem PHP7 Dolmetscher ze verbannen, entwéckelt fir d'Sécherheet vun der Ëmwelt ze verbesseren an allgemeng Feeler ze blockéieren, déi zu Schwachstelle bei der Lafen vun PHP-Applikatiounen féieren. De Modul erlaabt Iech och virtuelle Patches ze kreéieren fir spezifesch Probleemer ze fixéieren ouni de Quellcode vun der vulnerabeler Applikatioun z'änneren, wat praktesch ass fir an Masshostingsystemer ze benotzen, wou et onméiglech ass all Benotzerapplikatiounen um neiste Stand ze halen. De Modul ass an C geschriwwen, ass a Form vun enger gemeinsamer Bibliothéik verbonnen ("Extension=snuffleupagus.so" an php.ini) an lizenzéiert ënner LGPL 3.0.
Snuffleupagus stellt e Regelesystem, deen Iech erlaabt Standard Templates ze benotzen fir d'Sécherheet ze verbesseren, oder Är eege Regelen erstellen fir Inputdaten a Funktiounsparameter ze kontrolléieren. Zum Beispill, d'Regel "sp.disable_function.function("System").param("Command").value_r("[$|;&`\\n]").drop();" erlaabt Iech d'Benotzung vu speziellen Zeechen am System () Funktioun Argumenter ze limitéieren ouni d'Applikatioun z'änneren. Ähnlech kënnt Dir erstellen bekannte Schwachstelle blockéieren.
Duerch d'Tester vun den Entwéckler beurteelen, reduzéiert Snuffleupagus kaum d'Performance. Fir seng eege Sécherheet ze garantéieren (méiglech Schwachstelle an der Sécherheetsschicht kënnen als zousätzlech Vektor fir Attacken déngen), benotzt de Projet grëndlech Tester vun all Verpflichtung a verschiddene Verdeelungen, benotzt statesch Analysesystemer, a Code gëtt formatéiert an dokumentéiert fir d'Audit ze vereinfachen.
Built-in Methode ginn zur Verfügung gestallt fir Klassen vu Schwachstelle wéi Themen ze blockéieren, mat Serialiséierung vun Daten, Benotzung vun der PHP Mail() Funktioun, Leckage vu Cookie Inhalter während XSS Attacken, Probleemer wéinst Luede vu Dateien mat ausführbare Code (zum Beispill am Format ), schlecht Qualitéit zoufälleg Zuel Generatioun an falsch XML Konstruktioun.
Déi folgend Modi ginn ënnerstëtzt fir PHP Sécherheet ze verbesseren:
- Aktivéiert automatesch "sécher" an "samesite" (CSRF Schutz) Fändelen fir Cookien, Kichelcher
- Built-in Set vu Reegele fir Spure vun Attacken a Kompromëss vun Uwendungen z'identifizéieren;
- Gezwongen global Aktivatioun vun der "" (zum Beispill blockéiert e Versuch fir e String ze spezifizéieren wann Dir en ganz Zuelwäert als Argument erwaart) a Schutz géint ;
- Standard blockéieren (zum Beispill, "phar://") mat hirer explizit Whitelisting verbidden;
- Verbuet fir Dateien auszeféieren déi schrëftlech sinn;
- Schwaarz a wäiss Lëschte fir eval;
- Obligatoresch fir TLS Zertifikatprüfung z'aktivéieren wann Dir benotzt
krullen; - Füügt HMAC op serialiséierter Objeten fir sécherzestellen datt d'Deserialiséierung d'Donnéeën, déi vun der ursprénglecher Applikatioun gespäichert sinn;
- Ufro Logging Modus;
- Spär Luede vun externen Dateien an libxml iwwer Linken an XML Dokumenter;
- Fäegkeet fir extern Handler ze verbannen (upload_validation) fir eropgeluede Dateien ze kontrolléieren an ze scannen;
De Projet gouf erstallt a benotzt fir Benotzer an der Infrastruktur vun engem vun de grousse franséische Hostingbetreiber ze schützen. datt einfach d'Verbindung vu Snuffleupagus géint vill vun de geféierleche Schwachstelle schützt, déi dëst Joer an Drupal, WordPress a phpBB identifizéiert goufen. Schwachstelle vu Magento an Horde kéinte blockéiert ginn andeems de Modus aktivéiert gëtt
"sp.readonly_exec.enable()".
Source: opennet.ru