Mashruuca Snuffleupagus waxa uu horumarinayaa moduleka PHP ee ka hortagga dayacanka

Xuduudaha mashruuca snuffleupagus horumarisa модуль для подключения к интерпретатору PHP7, предназначенный для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать виртуальные патчи для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Модуль написан на языке Си, подключается в форме разделяемой библиотеки («extension=snuffleupagus.so» в php.ini) и qaybiyey shatiga ku haysta LGPL 3.0.

Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля входных данных и параметров функций. Например, правило «sp.disable_function.function(«system»).param(«command»).value_r(«[$|;&`\\n]»).drop();» позволяет не изменяя приложения ограничить использование спецсимволов в аргументах функции system(). Аналогично можно создавать balastar muuqaal ah для блокирования известных уязвимостей.

Судя по проведённым разработчиками тестам Snuffleupagus почти не снижает производительность. Для обеспечения собственной безопасности (возможные уязвимости в прослойке для защиты могут служить дополнительным вектором для атак) в проекте применяется доскональное тестирование каждого коммита в разных дистрибутивах, используются системы статического анализа, код оформляется и документируется для упрощения проведения аудита.

Предоставляются встроенные методы для блокирования таких классов уязвимоcтей, как проблемы, la xidhiidha oo leh xog taxane ah, aan ammaan ahayn isticmaalka PHP mail () shaqada, daadinta waxyaabaha ku jira kukiyada inta lagu guda jiro weerarada XSS, dhibaatooyinka ay sabab u tahay raritaanka faylasha leh kood la fulin karo (tusaale ahaan, qaabka far), jiilka tirada random tayada liidata iyo badalid dhismayaal XML khaldan

Из режимов для повышения защиты PHP поддерживаются:

• Si toos ah ugu sahla "ammaan" iyo "samesite" ( ilaalinta CSRF) ee Kukiyada, codeynta Kukiyada;
• Xeerar lagu dhex dhisay si loo garto raadadka weerarrada iyo tanaasulka codsiyada;
• Dhaqdhaqaaqa caalamiga ah ee qasabka ah"adag"(tusaale ahaan, wuxuu xannibaa isku dayga lagu qeexayo xargaha marka la filayo qiimaha isugeynta dood ahaan) iyo ka hortagga nooca wax-is-dabamarinta;
• Xiritaanka caadiga ah duubabka borotokoolka (tusaale ahaan, mamnuucida "phar://") oo wata liiskooda cad;
• Mamnuucida fulinta faylasha la qori karo;
• Liisaska madow iyo caddaanka ah ee eval;
• Loo baahan yahay si loo suurtageliyo hubinta shahaadada TLS marka la isticmaalayo
  laablaabashada;

• Ku darida HMAC walxaha taxanaha ah si loo hubiyo in kala-goyntu ay dib u soo ceshato xogta lagu kaydiyay codsigii asalka ahaa;
• Codso habka jaridda;
• Joojinta raritaanka faylasha dibadda ee libxml iyada oo la adeegsanayo isku xirka dukumentiyada XML;
• Awoodda isku xidhka hawlwadeennada dibadda (upload_validation) si loo hubiyo oo loo baadho faylasha la soo galiyay;

Проект создан и используется для защиты пользователей в инфраструктуре одного из крупных французских операторов хостинга. Waa la xusay, что просто подключение Snuffleupagus позволило бы защититься от многих опасных уязвимостей, выявленных в этом году в Drupal, WordPress и phpBB. Уязвимости в Magento и Horde могли бы быть блокированы включением режима
«sp.readonly_exec.enable()».

Source: opennet.ru