Në kufijtë e projektit një modul për t'u lidhur me interpretuesin PHP7, i krijuar për të përmirësuar sigurinë e mjedisit dhe për të bllokuar gabimet e zakonshme që çojnë në dobësi në ekzekutimin e aplikacioneve PHP. Moduli ju lejon gjithashtu të krijoni arna virtuale për të rregulluar probleme specifike pa ndryshuar kodin burimor të aplikacionit të cenueshëm, i cili është i përshtatshëm për t'u përdorur në sistemet e pritjes masive ku është e pamundur të mbahen të përditësuara të gjitha aplikacionet e përdoruesve. Moduli është i shkruar në C, është i lidhur në formën e një biblioteke të përbashkët (“extension=snuffleupagus.so” në php.ini) dhe licencuar sipas LGPL 3.0.
Snuffleupagus ofron një sistem rregullash që ju lejon të përdorni shabllone standarde për të përmirësuar sigurinë, ose të krijoni rregullat tuaja për të kontrolluar të dhënat hyrëse dhe parametrat e funksionit. Për shembull, rregulli "sp.disable_function.function("sistemi").param("komandë").value_r("[$|;&`\\n]").drop();" ju lejon të kufizoni përdorimin e karaktereve speciale në argumentet e funksionit system() pa ndryshuar aplikacionin. Në mënyrë të ngjashme, ju mund të krijoni për të bllokuar dobësitë e njohura.
Duke gjykuar nga testet e kryera nga zhvilluesit, Snuffleupagus vështirë se zvogëlon performancën. Për të siguruar sigurinë e tij (dobësitë e mundshme në shtresën e sigurisë mund të shërbejnë si një vektor shtesë për sulmet), projekti përdor testimin e plotë të secilit kryerje në shpërndarje të ndryshme, përdor sisteme të analizës statike dhe kodi formatohet dhe dokumentohet për të thjeshtuar auditimin.
Metodat e integruara ofrohen për të bllokuar klasa të dobësive të tilla si çështje, me serializimin e të dhënave, përdorimi i funksionit PHP mail(), rrjedhje e përmbajtjes së Cookie gjatë sulmeve XSS, probleme për shkak të ngarkimit të skedarëve me kod të ekzekutueshëm (për shembull, në format ), gjenerimi i numrave të rastësishëm me cilësi të dobët dhe konstruksione të pasakta XML.
Mënyrat e mëposhtme mbështeten për të rritur sigurinë PHP:
- Aktivizo automatikisht flamujt "secure" dhe "samesite" (CSRF mbrojtje) për Cookies, Biskotë;
- Një grup rregullash të integruara për të identifikuar gjurmët e sulmeve dhe komprometimin e aplikacioneve;
- Aktivizimi i detyruar global i "" (për shembull, bllokon një përpjekje për të specifikuar një varg kur pret një vlerë të plotë si argument) dhe mbrojtje kundër ;
- Bllokimi i parazgjedhur (për shembull, ndalimi i "phar://") me listën e tyre të qartë të bardhë;
- Ndalimi i ekzekutimit të skedarëve që mund të shkruhen;
- Lista bardh e zi për eval;
- Kërkohet për të aktivizuar kontrollin e certifikatës TLS kur përdoret
kaçurrela; - Shtimi i HMAC në objektet e serializuara për të siguruar që deserializimi të marrë të dhënat e ruajtura nga aplikacioni origjinal;
- Kërko modalitetin e regjistrimit;
- Bllokimi i ngarkimit të skedarëve të jashtëm në libxml përmes lidhjeve në dokumentet XML;
- Aftësia për të lidhur mbajtës të jashtëm (upload_validation) për të kontrolluar dhe skanuar skedarët e ngarkuar;
Projekti u krijua dhe u përdor për të mbrojtur përdoruesit në infrastrukturën e një prej operatorëve të mëdhenj francezë të pritjes. se thjesht lidhja e Snuffleupagus do të mbronte nga shumë nga dobësitë e rrezikshme të identifikuara këtë vit në Drupal, WordPress dhe phpBB. Dobësitë në Magento dhe Horde mund të bllokohen duke aktivizuar modalitetin
"sp.readonly_exec.enable()".
Burimi: opennet.ru