Објавување на Snuffleupagus 0.5.1, модул за блокирање на ранливости во PHP апликациите

По една година развој објавено објавување на проектот Snuffleupagus 0.5.1, предоставляющего модуль к интерпретатору PHP7 для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать виртуелни закрпи для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Накладные расходы от работы модуля оцениваются как минимальные. Модуль написан на языке Си, подключается в форме разделяемой библиотеки («extension=snuffleupagus.so» в php.ini) и дистрибуирани од лиценцирана според LGPL 3.0.

Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля входных данных и параметров функций. Например, правило «sp.disable_function.function(«system»).param(«command»).value_r(«[$|;&`\\n]»).drop();» позволяет не изменяя приложения ограничить использование спецсимволов в аргументах функции system(). Предоставляются встроенные методы для блокирования таких классов уязвимоcтей, как проблемы, поврзани со серијализација на податоци, небезбедни употреба на функцијата PHP mail(), истекување на содржината на колачињата за време на нападите на XSS, проблеми поради вчитување датотеки со извршна шифра (на пример, во формат фар), неквалитетно генерирање на случаен број и замена неточни XML конструкции.

Предоставляемые в Snuffleupagus режимы повышения защиты PHP:

• Автоматски овозможете ги знаменцата „безбедна“ и „иста локација“ (CSRF заштита) за колачиња, енкрипција Колаче;
• Вграден сет на правила за идентификување на траги од напади и компромиси на апликациите;
• Присилно глобално активирање на „строги" (на пример, блокира обид да се наведе низа кога се очекува цел број како аргумент) и заштита од манипулација со типот;
• Стандардно блокирање обвивки за протокол (на пример, забрана на „phar://“) со нивната експлицитна бела листа;
• Забрана за извршување датотеки што се запишуваат;
• Црно-бели списоци за eval;
• Потребно е за да се овозможи проверка на сертификатот TLS при користење
  навивам;
• Додавање HMAC на сериски објекти за да се осигури дека десериализацијата ги враќа податоците зачувани од оригиналната апликација;
• Побарајте режим на евиденција;
• Блокирање на вчитување на надворешни датотеки во libxml преку врски во XML документи;
• Можност за поврзување на надворешни ракувачи (upload_validation) за проверка и скенирање на поставени датотеки;

Меѓу промени в новом выпуске: Улучшена поддержка PHP 7.4 и реализована совместимость с находящейся в разработке веткой PHP 8. Добавлена возможность журналирования событий через syslog (для включения предложена директива sp.log_media, которая может принимать значения php или syslog). Обновлён предлагаемый по умолчанию набор правил, в который добавлены новые правила для выявленных в последнее время уязвимостей и техник атак на web-приложения. Улучшена поддержка macOS и расширено применение платформы непрерывной интеграции на базе GitLab.

Извор: opennet.ru