ترقي جي هڪ سال کان پوء پروجيڪٽ ڇڏڻ , предоставляющего модуль к интерпретатору PHP7 для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Накладные расходы от работы модуля оцениваются как минимальные. Модуль написан на языке Си, подключается в форме разделяемой библиотеки («extension=snuffleupagus.so» в php.ini) и LGPL 3.0 تحت لائسنس يافته.
Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля входных данных и параметров функций. Например, правило «sp.disable_function.function(«system»).param(«command»).value_r(«[$|;&`\\n]»).drop();» позволяет не изменяя приложения ограничить использование спецсимволов в аргументах функции system(). Предоставляются встроенные методы для блокирования таких классов уязвимоcтей, как проблемы, ڊيٽا جي ترتيب سان، PHP mail() فنڪشن جو استعمال، XSS حملن دوران ڪوڪي مواد جو ليڪ ٿيڻ، ايگزيڪيوٽو ڪوڊ سان فائلون لوڊ ڪرڻ سبب مسئلا (مثال طور، فارميٽ ۾ )، خراب معيار بي ترتيب نمبر جي پيداوار ۽ غلط XML ٺاھڻ.
Предоставляемые в Snuffleupagus режимы повышения защиты PHP:
- ڪوڪيز لاءِ پاڻمرادو "محفوظ" ۽ "ساڳي سائيٽ" (CSRF تحفظ) جھنڊن کي فعال ڪريو، ڪوڪي؛
- حملن جي نشانين جي نشاندهي ڪرڻ ۽ ايپليڪيشنن جي سمجھوتي لاءِ قاعدن جو بلٽ ان سيٽ؛
- جي زبردستي عالمي چالو "" (مثال طور، هڪ اسٽرنگ کي بيان ڪرڻ جي ڪوشش کي بلاڪ ڪري ٿو جڏهن هڪ انٽيجر قدر جي اميد رکي ٿي دليل طور) ۽ خلاف تحفظ ;
- ڊفالٽ بلاڪنگ (مثال طور، منع ڪرڻ "phar://") انهن جي واضح وائيٽ لسٽنگ سان؛
- لکڻ جي قابل فائلن تي عمل ڪرڻ تي پابندي؛
- eval لاء ڪارو ۽ اڇو فهرستون؛
- استعمال ڪرڻ وقت TLS سرٽيفڪيٽ چيڪنگ کي فعال ڪرڻ جي ضرورت آهي
curl - HMAC کي سيريل ٿيل شين ۾ شامل ڪرڻ کي يقيني بڻائڻ لاءِ ته ڊيسيريلائيزيشن اصل ايپليڪيشن پاران محفوظ ڪيل ڊيٽا کي ٻيهر حاصل ڪري ٿي؛
- درخواست لاگنگ موڊ؛
- XML دستاويزن ۾ لنڪ ذريعي libxml ۾ ٻاهرين فائلن جي لوڊشيڊنگ کي بلاڪ ڪرڻ؛
- اپلوڊ ٿيل فائلن کي چيڪ ڪرڻ ۽ اسڪين ڪرڻ لاءِ خارجي هينڊلر (upload_validation) ڳنڍڻ جي صلاحيت؛
انهن ۾ в новом выпуске: Улучшена поддержка PHP 7.4 и реализована совместимость с находящейся в разработке веткой PHP 8. Добавлена возможность журналирования событий через syslog (для включения предложена директива sp.log_media, которая может принимать значения php или syslog). Обновлён предлагаемый по умолчанию набор правил, в который добавлены новые правила для выявленных в последнее время уязвимостей и техник атак на web-приложения. Улучшена поддержка macOS и расширено применение платформы непрерывной интеграции на базе GitLab.
جو ذريعو: opennet.ru