Po metų plėtros projekto leidimas , предоставляющего модуль к интерпретатору PHP7 для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Накладные расходы от работы модуля оцениваются как минимальные. Модуль написан на языке Си, подключается в форме разделяемой библиотеки («extension=snuffleupagus.so» в php.ini) и licencijuota pagal LGPL 3.0.
Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля входных данных и параметров функций. Например, правило «sp.disable_function.function(«system»).param(«command»).value_r(«[$|;&`\\n]»).drop();» позволяет не изменяя приложения ограничить использование спецсимволов в аргументах функции system(). Предоставляются встроенные методы для блокирования таких классов уязвимоcтей, как проблемы, su duomenų serializavimu, PHP mail() funkcijos naudojimas, slapukų turinio nutekėjimas XSS atakų metu, problemos dėl failų įkėlimo su vykdomuoju kodu (pvz., formatu ), prastos kokybės atsitiktinių skaičių generavimas ir neteisingos XML konstrukcijos.
Предоставляемые в Snuffleupagus режимы повышения защиты PHP:
- Automatiškai įgalinti slapukų žymas „saugi“ ir „tos pačios svetainės“ (CSRF apsauga), Slapukas;
- Integruotas taisyklių rinkinys, leidžiantis nustatyti atakų pėdsakus ir programų kompromisus;
- Priverstinis visuotinis "" (pavyzdžiui, blokuoja bandymą nurodyti eilutę, kai tikimasi sveikojo skaičiaus reikšmės kaip argumento) ir apsauga nuo ;
- Numatytasis blokavimas (pavyzdžiui, uždraudžiant „phar://“) aiškiai įtraukiant į baltąjį sąrašą;
- Draudimas vykdyti failus, kuriuos galima įrašyti;
- Juodieji ir baltieji eval sąrašai;
- Būtinas norint įjungti TLS sertifikato tikrinimą naudojant
garbanoti; - HMAC įtraukimas į serijinius objektus, siekiant užtikrinti, kad deserializavimas nuskaitytų pradinės programos saugomus duomenis;
- Užklausos registravimo režimas;
- Blokuoti išorinių failų įkėlimą į libxml naudojant nuorodas XML dokumentuose;
- Galimybė prijungti išorines tvarkykles (upload_validation), kad būtų galima patikrinti ir nuskaityti įkeltus failus;
Tarp в новом выпуске: Улучшена поддержка PHP 7.4 и реализована совместимость с находящейся в разработке веткой PHP 8. Добавлена возможность журналирования событий через syslog (для включения предложена директива sp.log_media, которая может принимать значения php или syslog). Обновлён предлагаемый по умолчанию набор правил, в который добавлены новые правила для выявленных в последнее время уязвимостей и техник атак на web-приложения. Улучшена поддержка macOS и расширено применение платформы непрерывной интеграции на базе GitLab.
Šaltinis: opennet.ru