Pas një viti zhvillimi publikimi i projektit , i cili ofron një modul për interpretuesin PHP7 për të përmirësuar sigurinë e mjedisit dhe për të bllokuar gabimet e zakonshme që çojnë në dobësi në ekzekutimin e aplikacioneve PHP. Moduli ju lejon gjithashtu të krijoni për të eliminuar problemet specifike pa ndryshuar kodin burimor të aplikacionit të cenueshëm, i cili është i përshtatshëm për t'u përdorur në sistemet e pritjes masive ku është e pamundur të mbahen të përditësuara të gjitha aplikacionet e përdoruesve. Kostot e përgjithshme të modulit vlerësohen të jenë minimale. Moduli është i shkruar në C, është i lidhur në formën e një biblioteke të përbashkët (“extension=snuffleupagus.so” në php.ini) dhe licencuar sipas LGPL 3.0.
Snuffleupagus ofron një sistem rregullash që ju lejon të përdorni shabllone standarde për të përmirësuar sigurinë, ose të krijoni rregullat tuaja për të kontrolluar të dhënat hyrëse dhe parametrat e funksionit. Për shembull, rregulli "sp.disable_function.function("system").param("komandë").value_r("[$|;&`\\n]").drop();" ju lejon të kufizoni përdorimin e karaktereve speciale në argumentet e funksionit system() pa ndryshuar aplikacionin. Metodat e integruara ofrohen për të bllokuar klasa të dobësive të tilla si çështje, me serializimin e të dhënave, përdorimi i funksionit PHP mail(), rrjedhje e përmbajtjes së Cookie gjatë sulmeve XSS, probleme për shkak të ngarkimit të skedarëve me kod të ekzekutueshëm (për shembull, në format ), gjenerimi i numrave të rastësishëm me cilësi të dobët dhe konstruksione të pasakta XML.
Mënyrat e përmirësimit të sigurisë PHP të ofruara nga Snuffleupagus:
- Aktivizo automatikisht flamujt "secure" dhe "samesite" (CSRF mbrojtje) për Cookies, Biskotë;
- Një grup rregullash të integruara për të identifikuar gjurmët e sulmeve dhe komprometimin e aplikacioneve;
- Aktivizimi i detyruar global i "" (për shembull, bllokon një përpjekje për të specifikuar një varg kur pret një vlerë të plotë si argument) dhe mbrojtje kundër ;
- Bllokimi i parazgjedhur (për shembull, ndalimi i "phar://") me listën e tyre të qartë të bardhë;
- Ndalimi i ekzekutimit të skedarëve që mund të shkruhen;
- Lista bardh e zi për eval;
- Kërkohet për të aktivizuar kontrollin e certifikatës TLS kur përdoret
kaçurrela; - Shtimi i HMAC në objektet e serializuara për të siguruar që deserializimi të marrë të dhënat e ruajtura nga aplikacioni origjinal;
- Kërko modalitetin e regjistrimit;
- Bllokimi i ngarkimit të skedarëve të jashtëm në libxml përmes lidhjeve në dokumentet XML;
- Aftësia për të lidhur mbajtës të jashtëm (upload_validation) për të kontrolluar dhe skanuar skedarët e ngarkuar;
ndër në versionin e ri: Mbështetje e përmirësuar për PHP 7.4 dhe përputhshmëri e zbatuar me degën PHP 8 aktualisht në zhvillim. U shtua aftësia për të regjistruar ngjarjet nëpërmjet syslog (propozohet për përfshirje direktiva sp.log_media, e cila mund të marrë vlera php ose syslog). Grupi i parazgjedhur i rregullave është përditësuar për të përfshirë rregulla të reja për dobësitë e identifikuara së fundi dhe teknikat e sulmit kundër aplikacioneve në ueb. Mbështetje e përmirësuar për macOS dhe përdorim i zgjeruar i platformës së integrimit të vazhdueshëm të bazuar në GitLab.
Burimi: opennet.ru