ਪ੍ਰੋਹੋਸਟਰ > Блог > ਇੰਟਰਨੈੱਟ ਖਬਰ > Snuffleupagus ਪ੍ਰੋਜੈਕਟ ਕਮਜ਼ੋਰੀ ਨੂੰ ਰੋਕਣ ਲਈ ਇੱਕ PHP ਮੋਡੀਊਲ ਵਿਕਸਿਤ ਕਰ ਰਿਹਾ ਹੈ

Snuffleupagus ਪ੍ਰੋਜੈਕਟ ਕਮਜ਼ੋਰੀ ਨੂੰ ਰੋਕਣ ਲਈ ਇੱਕ PHP ਮੋਡੀਊਲ ਵਿਕਸਿਤ ਕਰ ਰਿਹਾ ਹੈ

ਪ੍ਰੋਜੈਕਟ ਦੀਆਂ ਸੀਮਾਵਾਂ ਵਿੱਚ ਸਨਫਲਿagਪੈਗਸ ਵਿਕਸਤ ਕਰਦਾ ਹੈ модуль для подключения к интерпретатору PHP7, предназначенный для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать виртуальные патчи для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Модуль написан на языке Си, подключается в форме разделяемой библиотеки («extension=snuffleupagus.so» в php.ini) и ਦੁਆਰਾ ਵੰਡਿਆ LGPL 3.0 ਦੇ ਅਧੀਨ ਲਾਇਸੰਸਸ਼ੁਦਾ।

Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля входных данных и параметров функций. Например, правило «sp.disable_function.function(«system»).param(«command»).value_r(«[$|;&`\\n]»).drop();» позволяет не изменяя приложения ограничить использование спецсимволов в аргументах функции system(). Аналогично можно создавать ਵਰਚੁਅਲ ਪੈਚ для блокирования известных уязвимостей.

Судя по проведённым разработчиками тестам Snuffleupagus почти не снижает производительность. Для обеспечения собственной безопасности (возможные уязвимости в прослойке для защиты могут служить дополнительным вектором для атак) в проекте применяется доскональное тестирование каждого коммита в разных дистрибутивах, используются системы статического анализа, код оформляется и документируется для упрощения проведения аудита.

Предоставляются встроенные методы для блокирования таких классов уязвимоcтей, как проблемы, ਸੰਬੰਧਿਤ ਡੇਟਾ ਸੀਰੀਅਲਾਈਜ਼ੇਸ਼ਨ ਦੇ ਨਾਲ, ਅਸੁਰੱਖਿਅਤ PHP ਮੇਲ() ਫੰਕਸ਼ਨ ਦੀ ਵਰਤੋਂ, XSS ਹਮਲਿਆਂ ਦੌਰਾਨ ਕੂਕੀ ਸਮੱਗਰੀ ਦਾ ਲੀਕ ਹੋਣਾ, ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਕੋਡ ਨਾਲ ਫਾਈਲਾਂ ਲੋਡ ਕਰਨ ਕਾਰਨ ਸਮੱਸਿਆਵਾਂ (ਉਦਾਹਰਨ ਲਈ, ਫਾਰਮੈਟ ਵਿੱਚ phar), ਘਟੀਆ ਕੁਆਲਿਟੀ ਬੇਤਰਤੀਬ ਨੰਬਰ ਬਣਾਉਣਾ ਅਤੇ ਬਦਲ ਗਲਤ XML ਨਿਰਮਾਣ।

Из режимов для повышения защиты PHP поддерживаются:

  • ਕੂਕੀਜ਼ ਲਈ ਸਵੈਚਲਿਤ ਤੌਰ 'ਤੇ "ਸੁਰੱਖਿਅਤ" ਅਤੇ "ਸਮੇਸਾਈਟ" (CSRF ਸੁਰੱਖਿਆ) ਫਲੈਗ ਨੂੰ ਸਮਰੱਥ ਬਣਾਓ, ਇਨਕ੍ਰਿਪਸ਼ਨ ਕੂਕੀ;
  • ਹਮਲਿਆਂ ਦੇ ਨਿਸ਼ਾਨ ਅਤੇ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੇ ਸਮਝੌਤਾ ਦੀ ਪਛਾਣ ਕਰਨ ਲਈ ਨਿਯਮਾਂ ਦਾ ਬਿਲਟ-ਇਨ ਸੈੱਟ;
  • ਦੀ ਜ਼ਬਰਦਸਤੀ ਗਲੋਬਲ ਐਕਟੀਵੇਸ਼ਨ "ਸਖ਼ਤ" (ਉਦਾਹਰਨ ਲਈ, ਇੱਕ ਆਰਗੂਮੈਂਟ ਦੇ ਰੂਪ ਵਿੱਚ ਇੱਕ ਪੂਰਨ ਅੰਕ ਮੁੱਲ ਦੀ ਉਮੀਦ ਕਰਦੇ ਸਮੇਂ ਇੱਕ ਸਤਰ ਨਿਰਧਾਰਤ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਨੂੰ ਰੋਕਦਾ ਹੈ) ਅਤੇ ਇਸਦੇ ਵਿਰੁੱਧ ਸੁਰੱਖਿਆ ਕਿਸਮ ਹੇਰਾਫੇਰੀ;
  • ਡਿਫੌਲਟ ਬਲਾਕਿੰਗ ਪ੍ਰੋਟੋਕੋਲ ਰੈਪਰ (ਉਦਾਹਰਨ ਲਈ, "phar://" ਨੂੰ ਪਾਬੰਦੀ ਲਗਾਉਣਾ) ਉਹਨਾਂ ਦੀ ਸਪਸ਼ਟ ਵ੍ਹਾਈਟਲਿਸਟਿੰਗ ਨਾਲ;
  • ਲਿਖਣਯੋਗ ਫਾਈਲਾਂ ਨੂੰ ਚਲਾਉਣ 'ਤੇ ਪਾਬੰਦੀ;
  • ਈਵਲ ਲਈ ਕਾਲੀਆਂ ਅਤੇ ਚਿੱਟੀਆਂ ਸੂਚੀਆਂ;
  • ਵਰਤਣ ਵੇਲੇ TLS ਸਰਟੀਫਿਕੇਟ ਜਾਂਚ ਨੂੰ ਸਮਰੱਥ ਕਰਨ ਲਈ ਲੋੜੀਂਦਾ ਹੈ
    curl;

  • ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਸੀਰੀਅਲਾਈਜ਼ਡ ਵਸਤੂਆਂ ਵਿੱਚ HMAC ਨੂੰ ਜੋੜਨਾ ਕਿ ਡੀਸੀਰੀਅਲਾਈਜ਼ੇਸ਼ਨ ਅਸਲ ਐਪਲੀਕੇਸ਼ਨ ਦੁਆਰਾ ਸਟੋਰ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ;
  • ਲੌਗਿੰਗ ਮੋਡ ਦੀ ਬੇਨਤੀ ਕਰੋ;
  • XML ਦਸਤਾਵੇਜ਼ਾਂ ਵਿੱਚ ਲਿੰਕਾਂ ਰਾਹੀਂ libxml ਵਿੱਚ ਬਾਹਰੀ ਫਾਈਲਾਂ ਦੀ ਲੋਡਿੰਗ ਨੂੰ ਬਲੌਕ ਕਰਨਾ;
  • ਅਪਲੋਡ ਕੀਤੀਆਂ ਫਾਈਲਾਂ ਦੀ ਜਾਂਚ ਅਤੇ ਸਕੈਨ ਕਰਨ ਲਈ ਬਾਹਰੀ ਹੈਂਡਲਰ (upload_validation) ਨਾਲ ਜੁੜਨ ਦੀ ਸਮਰੱਥਾ;

Проект создан и используется для защиты пользователей в инфраструктуре одного из крупных французских операторов хостинга. ਇਹ ਨੋਟ ਕੀਤਾ ਗਿਆ ਹੈ, что просто подключение Snuffleupagus позволило бы защититься от многих опасных уязвимостей, выявленных в этом году в Drupal, WordPress и phpBB. Уязвимости в Magento и Horde могли бы быть блокированы включением режима
«sp.readonly_exec.enable()».

ਸਰੋਤ: opennet.ru

ਇੱਕ ਟਿੱਪਣੀ ਜੋੜੋ