Na een jaar van ontwikkeling projectuitgave , dat een module biedt voor de PHP7-interpreter om de beveiliging van de omgeving te verbeteren en veelvoorkomende fouten te blokkeren die tot kwetsbaarheden leiden bij het uitvoeren van PHP-applicaties. Met de module kunt u ook creëren om specifieke problemen te elimineren zonder de broncode van de kwetsbare applicatie te wijzigen, wat handig is voor gebruik in massahostingsystemen waar het onmogelijk is om alle gebruikersapplicaties up-to-date te houden. De overheadkosten van de module worden als minimaal ingeschat. De module is geschreven in C, is verbonden in de vorm van een gedeelde bibliotheek (“extension=snuffleupagus.so” in php.ini) en gelicentieerd onder LGPL 3.0.
Snuffleupagus biedt een regelsysteem waarmee u standaardsjablonen kunt gebruiken om de beveiliging te verbeteren, of uw eigen regels kunt maken om invoergegevens en functieparameters te controleren. Bijvoorbeeld de regel “sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” Hiermee kunt u het gebruik van speciale tekens in system()-functieargumenten beperken zonder de toepassing te wijzigen. Er zijn ingebouwde methoden beschikbaar om klassen van kwetsbaarheden, zoals problemen, met dataserialisatie, gebruik van de PHP mail()-functie, lekken van Cookie-inhoud tijdens XSS-aanvallen, problemen door het laden van bestanden met uitvoerbare code (bijvoorbeeld in het formaat ), het genereren van willekeurige getallen van slechte kwaliteit en onjuiste XML-constructies.
PHP-beveiligingsverbeteringsmodi geleverd door Snuffleupagus:
- Schakel automatisch de vlaggen "secure" en "samesite" (CSRF-bescherming) in voor cookies, Koekje;
- Ingebouwde set regels om sporen van aanvallen en het compromitteren van applicaties te identificeren;
- Gedwongen mondiale activering van de ‘" (blokkeert bijvoorbeeld een poging om een tekenreeks op te geven wanneer een geheel getal als argument wordt verwacht) en bescherming tegen ;
- Standaardblokkering (bijvoorbeeld het verbieden van "phar://") met hun expliciete witte lijst;
- Verbod op het uitvoeren van bestanden die beschrijfbaar zijn;
- Zwarte en witte lijsten voor evaluatie;
- Vereist om TLS-certificaatcontrole in te schakelen bij gebruik
Krul; - Het toevoegen van HMAC aan geserialiseerde objecten om ervoor te zorgen dat deserialisatie de gegevens ophaalt die zijn opgeslagen door de oorspronkelijke applicatie;
- Registratiemodus aanvragen;
- Blokkeren van het laden van externe bestanden in libxml via links in XML-documenten;
- Mogelijkheid om externe handlers aan te sluiten (upload_validation) om geüploade bestanden te controleren en te scannen;
onder in de nieuwe release: Verbeterde ondersteuning voor PHP 7.4 en implementatie van compatibiliteit met de tak PHP 8 die momenteel in ontwikkeling is. De mogelijkheid toegevoegd om gebeurtenissen te loggen via syslog (de richtlijn sp.log_media wordt voorgesteld voor opname, die php- of syslog-waarden kan aannemen). De standaardset regels is bijgewerkt met nieuwe regels voor recent geïdentificeerde kwetsbaarheden en aanvalstechnieken tegen webapplicaties. Verbeterde ondersteuning voor macOS en uitgebreid gebruik van het continue integratieplatform op basis van GitLab.
Bron: opennet.ru