Projek Snuffleupagus sedang membangunkan modul PHP untuk menyekat kelemahan

Dalam sempadan projek snuffleupagus sedang berkembang модуль для подключения к интерпретатору PHP7, предназначенный для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать виртуальные патчи для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Модуль написан на языке Си, подключается в форме разделяемой библиотеки («extension=snuffleupagus.so» в php.ini) и diedarkan oleh berlesen di bawah LGPL 3.0.

Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля входных данных и параметров функций. Например, правило «sp.disable_function.function(«system»).param(«command»).value_r(«[$|;&`\\n]»).drop();» позволяет не изменяя приложения ограничить использование спецсимволов в аргументах функции system(). Аналогично можно создавать tompok maya для блокирования известных уязвимостей.

Судя по проведённым разработчиками тестам Snuffleupagus почти не снижает производительность. Для обеспечения собственной безопасности (возможные уязвимости в прослойке для защиты могут служить дополнительным вектором для атак) в проекте применяется доскональное тестирование каждого коммита в разных дистрибутивах, используются системы статического анализа, код оформляется и документируется для упрощения проведения аудита.

Предоставляются встроенные методы для блокирования таких классов уязвимоcтей, как проблемы, berkaitan dengan siri data, tidak selamat penggunaan fungsi mel PHP(), kebocoran kandungan Cookie semasa serangan XSS, masalah kerana memuatkan fail dengan kod boleh laku (contohnya, dalam format phar), penjanaan nombor rawak berkualiti rendah dan penggantian binaan XML yang salah.

Из режимов для повышения защиты PHP поддерживаются:

• Dayakan secara automatik bendera "secure" dan "samesite" (CSRF protection) untuk Kuki, penyulitan Kuki;
• Set peraturan terbina dalam untuk mengenal pasti kesan serangan dan kompromi aplikasi;
• Pengaktifan global paksa "ketat" (sebagai contoh, menyekat percubaan untuk menentukan rentetan apabila mengharapkan nilai integer sebagai hujah) dan perlindungan terhadap manipulasi jenis;
• Penyekatan lalai pembalut protokol (contohnya, melarang "phar://") dengan penyenaraian putih yang jelas;
• Larangan untuk melaksanakan fail yang boleh ditulis;
• Senarai hitam dan putih untuk eval;
• Diperlukan untuk mendayakan semakan sijil TLS apabila menggunakan
  keriting;

• Menambah HMAC pada objek bersiri untuk memastikan penyahserikatan mendapatkan semula data yang disimpan oleh aplikasi asal;
• Minta mod pembalakan;
• Menyekat pemuatan fail luaran dalam libxml melalui pautan dalam dokumen XML;
• Keupayaan untuk menyambungkan pengendali luaran (upload_validation) untuk menyemak dan mengimbas fail yang dimuat naik;

Проект создан и используется для защиты пользователей в инфраструктуре одного из крупных французских операторов хостинга. Ia diperhatikan, что просто подключение Snuffleupagus позволило бы защититься от многих опасных уязвимостей, выявленных в этом году в Drupal, WordPress и phpBB. Уязвимости в Magento и Horde могли бы быть блокированы включением режима
«sp.readonly_exec.enable()».

Sumber: opennet.ru