Selepas setahun pembangunan keluaran projek , yang menyediakan modul untuk penterjemah PHP7 untuk meningkatkan keselamatan persekitaran dan menyekat ralat biasa yang membawa kepada kelemahan dalam menjalankan aplikasi PHP. Modul ini juga membolehkan anda membuat untuk menghapuskan masalah khusus tanpa mengubah kod sumber aplikasi yang terdedah, yang mudah digunakan dalam sistem pengehosan besar-besaran di mana adalah mustahil untuk memastikan semua aplikasi pengguna dikemas kini. Kos overhed modul dianggarkan minimum. Modul ini ditulis dalam C, disambungkan dalam bentuk perpustakaan kongsi (βextension=snuffleupagus.soβ dalam php.ini) dan berlesen di bawah LGPL 3.0.
Snuffleupagus menyediakan sistem peraturan yang membolehkan anda menggunakan templat standard untuk meningkatkan keselamatan, atau mencipta peraturan anda sendiri untuk mengawal data input dan parameter fungsi. Contohnya, peraturan βsp.disable_function.function(βsystemβ).param(βcommandβ).value_r(β[$|;&`\\n]β).drop();β membolehkan anda mengehadkan penggunaan aksara khas dalam argumen fungsi system() tanpa mengubah aplikasi. Kaedah terbina dalam disediakan untuk menyekat kelas kelemahan seperti isu, dengan siri data, penggunaan fungsi mel PHP(), kebocoran kandungan Cookie semasa serangan XSS, masalah kerana memuatkan fail dengan kod boleh laku (contohnya, dalam format ), penjanaan nombor rawak berkualiti rendah dan binaan XML yang salah.
Mod peningkatan keselamatan PHP disediakan oleh Snuffleupagus:
- Dayakan secara automatik bendera "secure" dan "samesite" (CSRF protection) untuk Kuki, Kuki;
- Set peraturan terbina dalam untuk mengenal pasti kesan serangan dan kompromi aplikasi;
- Pengaktifan global paksa "" (sebagai contoh, menyekat percubaan untuk menentukan rentetan apabila mengharapkan nilai integer sebagai hujah) dan perlindungan terhadap ;
- Penyekatan lalai (contohnya, melarang "phar://") dengan penyenaraian putih yang jelas;
- Larangan untuk melaksanakan fail yang boleh ditulis;
- Senarai hitam dan putih untuk eval;
- Diperlukan untuk mendayakan semakan sijil TLS apabila menggunakan
keriting; - Menambah HMAC pada objek bersiri untuk memastikan penyahserikatan mendapatkan semula data yang disimpan oleh aplikasi asal;
- Minta mod pembalakan;
- Menyekat pemuatan fail luaran dalam libxml melalui pautan dalam dokumen XML;
- Keupayaan untuk menyambungkan pengendali luaran (upload_validation) untuk menyemak dan mengimbas fail yang dimuat naik;
Antara dalam keluaran baharu: Sokongan yang lebih baik untuk PHP 7.4 dan keserasian yang dilaksanakan dengan cawangan PHP 8 yang sedang dibangunkan. Menambahkan keupayaan untuk mengelog peristiwa melalui syslog (arahan sp.log_media dicadangkan untuk dimasukkan, yang boleh mengambil nilai php atau syslog). Set peraturan lalai telah dikemas kini untuk memasukkan peraturan baharu untuk kelemahan yang dikenal pasti baru-baru ini dan teknik serangan terhadap aplikasi web. Sokongan yang lebih baik untuk macOS dan penggunaan platform penyepaduan berterusan yang diperluas berdasarkan GitLab.
Sumber: opennet.ru