După un an de dezvoltare lansarea proiectului , care oferă un modul pentru interpretul PHP7 pentru a îmbunătăți securitatea mediului și pentru a bloca erorile comune care duc la vulnerabilități în rularea aplicațiilor PHP. Modulul vă permite, de asemenea, să creați pentru a elimina probleme specifice fără a schimba codul sursă al aplicației vulnerabile, ceea ce este convenabil pentru utilizarea în sistemele de găzduire în masă unde este imposibil să păstrați toate aplicațiile utilizator la zi. Costurile generale ale modulului sunt estimate a fi minime. Modulul este scris în C, este conectat sub forma unei biblioteci partajate („extension=snuffleupagus.so” în php.ini) și licențiat conform LGPL 3.0.
Snuffleupagus oferă un sistem de reguli care vă permite să utilizați șabloane standard pentru a îmbunătăți securitatea sau să vă creați propriile reguli pentru a controla datele de intrare și parametrii funcției. De exemplu, regula „sp.disable_function.function(„sistem”).param(„comandă”).value_r(„[$|;&`\\n]”).drop();” vă permite să limitați utilizarea caracterelor speciale în argumentele funcției system() fără a schimba aplicația. Sunt furnizate metode încorporate pentru a bloca clase de vulnerabilități, cum ar fi probleme, cu serializarea datelor, utilizarea funcției PHP mail(), scurgerea conținutului cookie în timpul atacurilor XSS, probleme din cauza încărcării fișierelor cu cod executabil (de exemplu, în format ), generarea de numere aleatoare de calitate slabă și constructe XML incorecte.
Moduri de îmbunătățire a securității PHP oferite de Snuffleupagus:
- Activați automat indicatoarele „securizate” și „același site” (protecție CSRF) pentru cookie-uri, Cookie;
- Set de reguli încorporat pentru a identifica urmele de atacuri și compromisuri ale aplicațiilor;
- Activarea globală forțată a „" (de exemplu, blochează o încercare de a specifica un șir atunci când se așteaptă o valoare întreagă ca argument) și protecție împotriva ;
- Blocare implicită (de exemplu, interzicerea „phar://”) cu lista albă explicită a acestora;
- Interzicerea executării fișierelor care pot fi scrise;
- Liste alb-negru pentru evaluare;
- Necesar pentru a activa verificarea certificatului TLS la utilizare
răsuci; - Adăugarea HMAC la obiectele serializate pentru a se asigura că deserializarea preia datele stocate de aplicația originală;
- Solicitați modul de înregistrare;
- Blocarea încărcării fișierelor externe în libxml prin link-uri în documente XML;
- Abilitatea de a conecta handlere externi (upload_validation) pentru a verifica și scana fișierele încărcate;
Printre în noua versiune: Suport îmbunătățit pentru PHP 7.4 și compatibilitate implementată cu ramura PHP 8 aflată în prezent în dezvoltare. S-a adăugat posibilitatea de a înregistra evenimente prin syslog (se propune spre includere directiva sp.log_media, care poate lua valori php sau syslog). Setul implicit de reguli a fost actualizat pentru a include reguli noi pentru vulnerabilitățile identificate recent și tehnicile de atac împotriva aplicațiilor web. Suport îmbunătățit pentru macOS și utilizare extinsă a platformei de integrare continuă bazată pe GitLab.
Sursa: opennet.ru