Fil-konfini tal-proġett modulu għall-konnessjoni mal-interpretu PHP7, iddisinjat biex itejjeb is-sigurtà tal-ambjent u jimblokka żbalji komuni li jwasslu għal vulnerabbiltajiet fit-tħaddim tal-applikazzjonijiet PHP. Il-modulu jippermettilek ukoll li toħloq irqajja virtwali biex tirranġa problemi speċifiċi mingħajr ma tbiddel il-kodiċi tas-sors tal-applikazzjoni vulnerabbli, li huwa konvenjenti għall-użu f'sistemi ta 'hosting tal-massa fejn huwa impossibbli li l-applikazzjonijiet kollha tal-utent jinżammu aġġornati. Il-modulu huwa miktub f'Ċ, huwa konness fil-forma ta 'librerija kondiviża ("estensjoni=snuffleupagus.so" f'php.ini) u liċenzjat taħt LGPL 3.0.
Snuffleupagus jipprovdi sistema ta' regoli li tippermettilek tuża mudelli standard biex ittejjeb is-sigurtà, jew toħloq ir-regoli tiegħek stess biex tikkontrolla d-data tad-dħul u l-parametri tal-funzjoni. Pereżempju, ir-regola “sp.disable_function.function(“sistema”).param(“kmand”).value_r(“[$|;&`\\n]”).drop();” jippermettilek tillimita l-użu ta' karattri speċjali fl-argumenti tal-funzjoni tas-sistema() mingħajr ma tbiddel l-applikazzjoni. Bl-istess mod, tista 'toħloq biex jimblokka l-vulnerabbiltajiet magħrufa.
Ġġudikati mit-testijiet imwettqa mill-iżviluppaturi, Snuffleupagus bilkemm inaqqas il-prestazzjoni. Biex tiżgura s-sigurtà tagħha stess (vulnerabbiltajiet possibbli fis-saff tas-sigurtà jistgħu jservu bħala vettur addizzjonali għall-attakki), il-proġett juża ttestjar bir-reqqa ta 'kull impenn f'distribuzzjonijiet differenti, juża sistemi ta' analiżi statika, u l-kodiċi huwa fformattjat u dokumentat biex jissimplifika l-verifika.
Metodi integrati huma pprovduti biex jimblukkaw klassijiet ta’ vulnerabbiltajiet bħal kwistjonijiet, bis-serjelizzazzjoni tad-dejta, użu tal-funzjoni PHP mail(), tnixxija tal-kontenut tal-Cookie waqt attakki XSS, problemi minħabba t-tagħbija ta' fajls b'kodiċi eżekutibbli (per eżempju, fil-format ), ġenerazzjoni ta 'numri każwali ta' kwalità fqira u kostruzzjonijiet XML żbaljati.
Il-modi li ġejjin huma appoġġjati biex itejbu s-sigurtà PHP:
- Ippermetti awtomatikament il-bnadar "sikur" u "istess sit" (protezzjoni CSRF) għall-Cookies, Cookie;
- Sett ta' regoli integrati biex jidentifikaw traċċi ta' attakki u kompromess ta' applikazzjonijiet;
- Attivazzjoni globali sfurzata tal-"" (pereżempju, timblokka tentattiv biex tispeċifika string meta tistenna valur sħiħ bħala argument) u protezzjoni kontra ;
- Imblukkar default (pereżempju, tipprojbixxi "phar://") bil-whitelisting espliċitu tagħhom;
- Projbizzjoni fuq l-eżekuzzjoni ta' fajls li jistgħu jinkitbu;
- Listi suwed u bojod għall-eval;
- Meħtieġa biex tippermetti l-iċċekkjar taċ-ċertifikat TLS meta tuża
curl; - Iż-żieda ta 'HMAC ma' oġġetti serializzati biex tiżgura li d-deserialization tirkupra d-dejta maħżuna mill-applikazzjoni oriġinali;
- Modalità ta' illoggjar tal-mistoqsijiet;
- Imblukkar tat-tagħbija ta 'fajls esterni f'libxml permezz ta' links f'dokumenti XML;
- Kapaċità li tikkonnettja handlers esterni (upload_validation) biex jiċċekkjaw u jiskennjaw il-fajls imtella';
Il-proġett inħoloq u ntuża biex jipproteġi lill-utenti fl-infrastruttura ta 'wieħed mill-operaturi kbar ta' hosting Franċiżi. li sempliċiment tgħaqqad Snuffleupagus jipproteġi kontra ħafna mill-vulnerabbiltajiet perikolużi identifikati din is-sena f'Drupal, WordPress u phpBB. Vulnerabbiltajiet f'Magento u Horde jistgħu jiġu mblukkati billi l-modalità tkun attivata
"sp.readonly_exec.enable()".
Sors: opennet.ru