Sanggeus sataun pangwangunan release proyék , anu nyayogikeun modul pikeun juru PHP7 pikeun ningkatkeun kaamanan lingkungan sareng meungpeuk kasalahan umum anu nyababkeun kerentanan dina ngajalankeun aplikasi PHP. modul ogé ngidinan Anjeun pikeun nyieun pikeun ngaleungitkeun masalah husus tanpa ngarobah kodeu sumber tina aplikasi rentan, nu merenah pikeun pamakéan dina sistem hosting massal dimana teu mungkin pikeun nyimpen sakabéh aplikasi pamaké up to date. Biaya overhead modul diperkirakeun minimal. modul ditulis dina C, disambungkeun dina bentuk perpustakaan dibagikeun ("extension=snuffleupagus.so" dina php.ini) jeung dilisensikeun dina LGPL 3.0.
Snuffleupagus nyadiakeun sistem aturan nu ngidinan Anjeun pikeun make témplat baku pikeun ngaronjatkeun kaamanan, atawa nyieun aturan sorangan pikeun data input kontrol jeung parameter fungsi. Contona, aturan "sp.disable_function.function("system").param("command").value_r("[$|;&`\\n]").drop ();" ngidinan Anjeun pikeun ngawatesan pamakéan karakter husus dina sistem () argumen fungsi tanpa ngarobah aplikasi. Métode anu diwangun disayogikeun pikeun meungpeuk kelas kerentanan sapertos masalah, kalawan serialization data, pamakéan PHP mail () fungsi, leakage eusi Cookie salila serangan XSS, masalah alatan loading file kalawan kode executable (contona, dina format. ), kualitas goréng generasi angka acak sarta constructs XML salah.
Modeu paningkatan kaamanan PHP anu disayogikeun ku Snuffleupagus:
- Aktipkeun sacara otomatis bendera "aman" sareng "samesite" (proteksi CSRF) pikeun Cookies, Cookie;
- Diwangun-di set aturan pikeun ngaidentipikasi ngambah serangan jeung kompromi tina aplikasi;
- Aktivasina global paksaan "" (Contona, meungpeuk usaha pikeun nangtukeun string nalika ngarepkeun nilai integer salaku argumen) sareng panyalindungan ngalawan ;
- Pameungpeuk standar (contona, ngalarang "phar: //") kalayan daptar bodas anu eksplisit;
- Larangan pikeun ngaéksekusi file anu tiasa ditulis;
- Daptar hideung bodas pikeun eval;
- Diperlukeun pikeun ngaktipkeun mariksa sertipikat TLS nalika nganggo
ngagulung; - Nambahkeun HMAC kana objék serialized pikeun mastikeun yén deserialization retrieves data nu disimpen ku aplikasi aslina;
- Ménta mode logging;
- Blocking loading file éksternal di libxml via tumbu dina dokumén XML;
- Kamampuhan pikeun nyambungkeun pawang éksternal (upload_validation) pikeun mariksa sareng nyeken file anu diunggah;
di antara dina release anyar: Ningkatkeun rojongan pikeun PHP 7.4 sarta dilaksanakeun kasaluyuan jeung PHP 8 cabang ayeuna dina ngembangkeun Ditambahkeun kamampuhan pikeun log acara via syslog (diréktif sp.log_media diusulkeun pikeun citakan, nu bisa nyandak php atawa nilai syslog). Set standar aturan parantos diénggalan pikeun ngalebetkeun aturan énggal pikeun kerentanan anu nembé diidentifikasi sareng téknik serangan ngalawan aplikasi wéb. Ningkatkeun dukungan pikeun macOS sareng ngalegaan panggunaan platform integrasi kontinyu dumasar kana GitLab.
sumber: opennet.ru