No engem Joer vun Entwécklung Projet Verëffentlechung , deen e Modul fir den PHP7 Dolmetscher ubitt fir d'Sécherheet vun der Ëmwelt ze verbesseren an allgemeng Feeler ze blockéieren, déi zu Schwachstelle bei PHP-Applikatiounen féieren. De Modul erlaabt Iech och ze schafen fir spezifesch Probleemer ze eliminéieren ouni de Quellcode vun der vulnerabeler Applikatioun z'änneren, wat praktesch ass fir an Masshostingsystemer ze benotzen, wou et onméiglech ass all Benotzerapplikatiounen um neiste Stand ze halen. D'Overheadkäschte vum Modul ginn als minimal geschat. De Modul ass an C geschriwwen, ass a Form vun enger gemeinsamer Bibliothéik verbonnen ("Extension=snuffleupagus.so" an php.ini) an lizenzéiert ënner LGPL 3.0.
Snuffleupagus stellt e Regelesystem, deen Iech erlaabt Standard Templates ze benotzen fir d'Sécherheet ze verbesseren, oder Är eege Regelen erstellen fir Inputdaten a Funktiounsparameter ze kontrolléieren. Zum Beispill, d'Regel "sp.disable_function.function("System").param("Command").value_r("[$|;&`\\n]").drop();" erlaabt Iech d'Benotzung vu speziellen Zeechen am System () Funktioun Argumenter ze limitéieren ouni d'Applikatioun z'änneren. Built-in Methode ginn zur Verfügung gestallt fir Klassen vu Schwachstelle wéi Themen ze blockéieren, mat Serialiséierung vun Daten, Benotzung vun der PHP Mail() Funktioun, Leckage vu Cookie Inhalter während XSS Attacken, Probleemer wéinst Luede vu Dateien mat ausführbare Code (zum Beispill am Format ), schlecht Qualitéit zoufälleg Zuel Generatioun an falsch XML Konstruktioun.
PHP Sécherheetsverbesserungsmodi geliwwert vum Snuffleupagus:
- Aktivéiert automatesch "sécher" an "samesite" (CSRF Schutz) Fändelen fir Cookien, Kichelcher
- Built-in Set vu Reegele fir Spure vun Attacken a Kompromëss vun Uwendungen z'identifizéieren;
- Gezwongen global Aktivatioun vun der "" (zum Beispill blockéiert e Versuch fir e String ze spezifizéieren wann Dir en ganz Zuelwäert als Argument erwaart) a Schutz géint ;
- Standard blockéieren (zum Beispill, "phar://") mat hirer explizit Whitelisting verbidden;
- Verbuet fir Dateien auszeféieren déi schrëftlech sinn;
- Schwaarz a wäiss Lëschte fir eval;
- Obligatoresch fir TLS Zertifikatprüfung z'aktivéieren wann Dir benotzt
krullen; - Füügt HMAC op serialiséierter Objeten fir sécherzestellen datt d'Deserialiséierung d'Donnéeën, déi vun der ursprénglecher Applikatioun gespäichert sinn;
- Ufro Logging Modus;
- Spär Luede vun externen Dateien an libxml iwwer Linken an XML Dokumenter;
- Fäegkeet fir extern Handler ze verbannen (upload_validation) fir eropgeluede Dateien ze kontrolléieren an ze scannen;
Ënnert der an der neier Verëffentlechung: Verbesserte Ënnerstëtzung fir PHP 7.4 an ëmgesat Kompatibilitéit mat der PHP 8 Branche déi momentan an der Entwécklung ass. De Standardset vu Reegelen gouf aktualiséiert fir nei Reegele fir kierzlech identifizéiert Schwächen an Attacktechnike géint Webapplikatiounen ze enthalen. Verbesserte Ënnerstëtzung fir macOS an erweidert Notzung vun der kontinuéierlecher Integratiounsplattform baséiert op GitLab.
Source: opennet.ru