Po letu razvoja izdaja projekta , ki zagotavlja modul za tolmač PHP7 za izboljšanje varnosti okolja in blokiranje pogostih napak, ki povzročajo ranljivosti pri izvajanju aplikacij PHP. Modul omogoča tudi ustvarjanje za odpravo specifičnih težav brez spreminjanja izvorne kode ranljive aplikacije, kar je priročno za uporabo v sistemih množičnega gostovanja, kjer je nemogoče vzdrževati vse uporabniške aplikacije posodobljene. Režijski stroški modula so ocenjeni kot minimalni. Modul je napisan v C, je povezan v obliki skupne knjižnice (»extension=snuffleupagus.so« v php.ini) in licenciran pod LGPL 3.0.
Snuffleupagus ponuja sistem pravil, ki vam omogoča uporabo standardnih predlog za izboljšanje varnosti ali ustvarjanje lastnih pravil za nadzor vhodnih podatkov in funkcijskih parametrov. Na primer, pravilo “sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” vam omogoča, da omejite uporabo posebnih znakov v argumentih funkcije system(), ne da bi spremenili aplikacijo. Na voljo so vgrajene metode za blokiranje razredov ranljivosti, kot so težave, s serializacijo podatkov, uporaba funkcije PHP mail(), uhajanje vsebine piškotkov med napadi XSS, težave zaradi nalaganja datotek z izvedljivo kodo (npr. v formatu ), nekvalitetno generiranje naključnih števil in neveljavne konstrukcije XML.
Načini izboljšave varnosti PHP, ki jih zagotavlja Snuffleupagus:
- Samodejno omogočanje zastavic "varno" in "samesite" (zaščita CSRF) za piškotke, Piškotek
- Vgrajen nabor pravil za odkrivanje sledi napadov in ogroženih aplikacij;
- Vsili način globalnega omogočanja "» (na primer blokira poskus določanja niza, medtem ko kot argument pričakuje vrednost celega števila) in zaščito pred ;
- Privzeto blokiranje (na primer prepoved "phar://") z njihovim izrecnim dovoljenjem glede na beli seznam;
- Prepoved izvajanja zapisljivih datotek;
- Črni in beli seznami za vrednotenje;
- Omogoči obvezno preverjanje potrdila TLS pri uporabi
kodri; - Dodajanje HMAC serializiranim objektom za zagotovitev, da deserializacija pridobi podatke, ki jih je shranila izvirna aplikacija;
- Način beleženja zahtev;
- Blokiranje nalaganja zunanjih datotek v libxml iz povezav v dokumentih XML;
- Možnost povezovanja zunanjih upravljavcev (upload_validation) za preverjanje in skeniranje naloženih datotek;
med v novi izdaji: Izboljšana podpora za PHP 7.4 in implementirana združljivost z vejo PHP 8, ki je trenutno v razvoju. Privzeti nabor pravil je bil posodobljen tako, da vključuje nova pravila za nedavno ugotovljene ranljivosti in tehnike napada na spletne aplikacije. Izboljšana podpora za macOS in razširjena uporaba platforme za stalno integracijo, ki temelji na GitLabu.
Vir: opennet.ru