Po metų plėtros projekto leidimas , kuriame pateikiamas PHP7 interpretatoriaus modulis, skirtas pagerinti aplinkos saugumą ir blokuoti įprastas klaidas, dėl kurių atsiranda pažeidžiamumas naudojant PHP programas. Modulis taip pat leidžia kurti pašalinti specifines problemas, nekeičiant pažeidžiamos programos šaltinio kodo, kurį patogu naudoti masinio prieglobos sistemose, kuriose neįmanoma atnaujinti visų vartotojų programų. Apskaičiuota, kad modulio pridėtinės išlaidos yra minimalios. Modulis parašytas C, yra prijungtas kaip bendrai naudojama biblioteka ("extension=snuffleupagus.so" php.ini) ir licencijuota pagal LGPL 3.0.
„Snuffleupagus“ pateikia taisyklių sistemą, leidžiančią naudoti standartinius šablonus, kad pagerintumėte saugumą, arba sukurti savo taisykles, skirtas įvesties duomenims ir funkcijų parametrams valdyti. Pavyzdžiui, taisyklė "sp.disable_function.function("sistema").param("command").value_r("[$|;&`\\n]").drop();" leidžia apriboti specialiųjų simbolių naudojimą sistemos() funkcijos argumentuose nekeičiant programos. Pateikiami integruoti metodai, skirti blokuoti pažeidžiamumo klases, pvz., problemas, su duomenų serializavimu, PHP mail() funkcijos naudojimas, slapukų turinio nutekėjimas XSS atakų metu, problemos dėl failų įkėlimo su vykdomuoju kodu (pvz., formatu ), prastos kokybės atsitiktinių skaičių generavimas ir neteisingos XML konstrukcijos.
PHP saugos patobulinimo režimai, kuriuos teikia Snuffleupagus:
- Automatiškai įgalinti slapukų žymas „saugi“ ir „tos pačios svetainės“ (CSRF apsauga), Slapukas;
- Integruotas taisyklių rinkinys, leidžiantis nustatyti atakų pėdsakus ir programų kompromisus;
- Priverstinis visuotinis "" (pavyzdžiui, blokuoja bandymą nurodyti eilutę, kai tikimasi sveikojo skaičiaus reikšmės kaip argumento) ir apsauga nuo ;
- Numatytasis blokavimas (pavyzdžiui, uždraudžiant „phar://“) aiškiai įtraukiant į baltąjį sąrašą;
- Draudimas vykdyti failus, kuriuos galima įrašyti;
- Juodieji ir baltieji eval sąrašai;
- Būtinas norint įjungti TLS sertifikato tikrinimą naudojant
garbanoti; - HMAC įtraukimas į serijinius objektus, siekiant užtikrinti, kad deserializavimas nuskaitytų pradinės programos saugomus duomenis;
- Užklausos registravimo režimas;
- Blokuoti išorinių failų įkėlimą į libxml naudojant nuorodas XML dokumentuose;
- Galimybė prijungti išorines tvarkykles (upload_validation), kad būtų galima patikrinti ir nuskaityti įkeltus failus;
Tarp naujoje versijoje: patobulintas PHP 7.4 palaikymas ir įdiegtas suderinamumas su šiuo metu kuriama PHP 8 šaka. Pridėta galimybė registruoti įvykius per syslog (siūloma įtraukti sp.log_media direktyvą, kuri gali priimti php arba syslog reikšmes). Numatytasis taisyklių rinkinys buvo atnaujintas, kad būtų įtrauktos naujos taisyklės dėl neseniai nustatytų pažeidžiamumų ir atakų prieš žiniatinklio programas metodus. Patobulintas „MacOS“ palaikymas ir išplėstas nuolatinės integracijos platformos, pagrįstos „GitLab“, naudojimas.
Šaltinis: opennet.ru