Жилийн хөгжлийн дараа төслийн хувилбар , предоставляющего модуль к интерпретатору PHP7 для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Накладные расходы от работы модуля оцениваются как минимальные. Модуль написан на языке Си, подключается в форме разделяемой библиотеки («extension=snuffleupagus.so» в php.ini) и LGPL 3.0 дагуу лицензтэй.
Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля входных данных и параметров функций. Например, правило «sp.disable_function.function(«system»).param(«command»).value_r(«[$|;&`\\n]»).drop();» позволяет не изменяя приложения ограничить использование спецсимволов в аргументах функции system(). Предоставляются встроенные методы для блокирования таких классов уязвимоcтей, как проблемы, өгөгдлийн цуваагаар, PHP mail() функцийг ашиглах, XSS халдлагын үед күүки контент алдагдсан, гүйцэтгэх код бүхий файлуудыг ачаалахтай холбоотой асуудлууд (жишээлбэл, форматаар) ), санамсаргүй тоонуудыг чанар муутай үүсгэх ба хүчингүй XML бүтэц.
Предоставляемые в Snuffleupagus режимы повышения защиты PHP:
- Cookies-д зориулсан "аюулгүй" болон "samesite" (CSRF хамгаалалт) тугуудыг автоматаар идэвхжүүлэх, Жигнэмэг
- Халдлагын ул мөр, эвдэрсэн програмуудыг илрүүлэх дүрмийн багц;
- Глобал идэвхжүүлэх горимыг албадах "» (жишээ нь, бүхэл тоон утгыг аргумент болгон хүлээж байхад мөрийг зааж өгөх оролдлогыг блоклодог) болон ;
- Өгөгдмөлөөр блоклодог (жишээлбэл, "phar: //" -ийг хориглох) цагаан жагсаалтын дагуу тэдний тодорхой зөвшөөрөлтэйгээр;
- Бичих боломжтой файлуудыг ажиллуулахыг хориглох;
- Үнэлгээний хар ба цагаан жагсаалт;
- Ашиглахдаа TLS сертификатын баталгаажуулалтыг идэвхжүүлнэ үү
буржгар; - Цувралжуулсан объектуудад HMAC-г нэмэх нь анхны програмын хадгалсан өгөгдлийг сэргээж байгаа эсэхийг баталгаажуулах;
- Хүсэлтийн бүртгэлийн горим;
- XML баримт дахь холбоосуудаас libxml-д гадаад файлуудыг ачаалахыг хориглох;
- Байршуулсан файлуудыг шалгах, сканнердахын тулд гадаад зохицуулагчийг (upload_validation) холбох чадвар;
дунд в новом выпуске: Улучшена поддержка PHP 7.4 и реализована совместимость с находящейся в разработке веткой PHP 8. Добавлена возможность журналирования событий через syslog (для включения предложена директива sp.log_media, которая может принимать значения php или syslog). Обновлён предлагаемый по умолчанию набор правил, в который добавлены новые правила для выявленных в последнее время уязвимостей и техник атак на web-приложения. Улучшена поддержка macOS и расширено применение платформы непрерывной интеграции на базе GitLab.
Эх сурвалж: opennet.ru