После годину дана развоја издање пројекта , који обезбеђује модул за ПХП7 интерпретер за побољшање безбедности окружења и блокирање уобичајених грешака које доводе до рањивости у покретању ПХП апликација. Модул вам такође омогућава да креирате да елиминише специфичне проблеме без промене изворног кода рањиве апликације, што је згодно за употребу у масовним хостинг системима где је немогуће одржавати све корисничке апликације ажурним. Процењује се да су режијски трошкови модула минимални. Модул је написан у Ц, повезан је у облику заједничке библиотеке (“ектенсион=снуффлеупагус.со” у пхп.ини) и лиценциран према ЛГПЛ 3.0.
Снуффлеупагус обезбеђује систем правила који вам омогућава да користите стандардне шаблоне за побољшање безбедности или креирате сопствена правила за контролу улазних података и параметара функција. На пример, правило „сп.дисабле_фунцтион.фунцтион(“систем”).парам(“цомманд”).валуе_р(“[$|;&`\\н]”).дроп();” омогућава вам да ограничите употребу специјалних знакова у аргументима функције систем() без промене апликације. Обезбеђене су уграђене методе за блокирање класа рањивости као што су проблеми, са серијализацијом података, употреба ПХП маил() функције, цурење садржаја колачића током КССС напада, проблеми због учитавања датотека са извршним кодом (на пример, у формату ), генерисање случајних бројева лошег квалитета и нетачне КСМЛ конструкције.
ПХП режими побољшања безбедности које обезбеђује Снуффлеупагус:
- Аутоматски омогући „безбедно“ и „исто место“ (ЦСРФ заштита) заставице за колачиће, Цоокие;
- Уграђени скуп правила за идентификацију трагова напада и компромитовања апликација;
- Присилно глобално активирање "" (на пример, блокира покушај да се наведе стринг када се очекује целобројна вредност као аргумент) и заштита од ;
- Подразумевано блокирање (на пример, забрана „пхар://“) са њиховим експлицитним стављањем на белу листу;
- Забрана извршавања датотека на које се може писати;
- Црно-беле листе за евалуацију;
- Обавезно да бисте омогућили проверу ТЛС сертификата када се користи
цурл; - Додавање ХМАЦ-а серијализованим објектима како би се осигурало да десеријализација преузима податке сачуване у оригиналној апликацији;
- Рекуест логгинг моде;
- Блокирање учитавања екстерних датотека у либкмл преко веза у КСМЛ документима;
- Могућност повезивања екстерних руковалаца (уплоад_валидатион) за проверу и скенирање отпремљених датотека;
Међу у новом издању: Побољшана подршка за ПХП 7.4 и имплементирана компатибилност са граном ПХП 8 која је тренутно у развоју. Додата је могућност евидентирања догађаја путем сислог-а (за укључивање је предложена директива сп.лог_медиа, која може узети пхп или сислог вредности). Подразумевани скуп правила је ажуриран како би укључио нова правила за недавно идентификоване рањивости и технике напада на веб апликације. Побољшана подршка за мацОС и проширена употреба платформе за континуирану интеграцију засновану на ГитЛаб-у.
Извор: опеннет.ру