У границама пројекта модул за повезивање на ПХП7 интерпретер, дизајниран да побољша безбедност окружења и блокира уобичајене грешке које доводе до рањивости у покретању ПХП апликација. Модул вам такође омогућава да креирате виртуелне закрпе за решавање одређених проблема без промене изворног кода рањиве апликације, што је згодно за употребу у масовним хостинг системима где је немогуће ажурирати све корисничке апликације. Модул је написан у Ц, повезан је у облику заједничке библиотеке (“ектенсион=снуффлеупагус.со” у пхп.ини) и лиценциран према ЛГПЛ 3.0.
Снуффлеупагус обезбеђује систем правила који вам омогућава да користите стандардне шаблоне за побољшање безбедности или креирате сопствена правила за контролу улазних података и параметара функција. На пример, правило „сп.дисабле_фунцтион.фунцтион(“систем”).парам(“цомманд”).валуе_р(“[$|;&`\\н]”).дроп();” омогућава вам да ограничите употребу специјалних знакова у аргументима функције систем() без промене апликације. Слично, можете креирати да блокира познате рањивости.
Судећи по тестовима које су спровели програмери, Снуффлеупагус једва да смањује перформансе. Да би осигурао сопствену безбедност (могуће рањивости у безбедносном слоју могу послужити као додатни вектор за нападе), пројекат користи темељно тестирање сваког урезивања у различитим дистрибуцијама, користи системе статичке анализе, а код је форматиран и документован да поједностави ревизију.
Обезбеђене су уграђене методе за блокирање класа рањивости као што су проблеми, са серијализацијом података, употреба ПХП маил() функције, цурење садржаја колачића током КССС напада, проблеми због учитавања датотека са извршним кодом (на пример, у формату ), генерисање случајних бројева лошег квалитета и нетачне КСМЛ конструкције.
Следећи режими су подржани за побољшање ПХП безбедности:
- Аутоматски омогући „безбедно“ и „исто место“ (ЦСРФ заштита) заставице за колачиће, Цоокие;
- Уграђени скуп правила за идентификацију трагова напада и компромитовања апликација;
- Присилно глобално активирање "" (на пример, блокира покушај да се наведе стринг када се очекује целобројна вредност као аргумент) и заштита од ;
- Подразумевано блокирање (на пример, забрана „пхар://“) са њиховим експлицитним стављањем на белу листу;
- Забрана извршавања датотека на које се може писати;
- Црно-беле листе за евалуацију;
- Обавезно да бисте омогућили проверу ТЛС сертификата када се користи
цурл; - Додавање ХМАЦ-а серијализованим објектима како би се осигурало да десеријализација преузима податке сачуване у оригиналној апликацији;
- Рекуест логгинг моде;
- Блокирање учитавања екстерних датотека у либкмл преко веза у КСМЛ документима;
- Могућност повезивања екстерних руковалаца (уплоад_валидатион) за проверу и скенирање отпремљених датотека;
Пројекат је креиран и коришћен за заштиту корисника у инфраструктури једног од великих француских хостинг оператера. да би једноставно повезивање Снуффлеупагуса заштитило од многих опасних рањивости идентификованих ове године у Друпалу, ВордПресс-у и пхпББ-у. Рањивости у Магенто и Хорде могу бити блокиране омогућавањем режима
"сп.реадонли_екец.енабле()".
Извор: опеннет.ру