Proyék Snuffleupagus ngembangkeun modul PHP pikeun ngahalangan kerentanan

Dina wates proyék snuffleupagus ngembang модуль для подключения к интерпретатору PHP7, предназначенный для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать виртуальные патчи для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Модуль написан на языке Си, подключается в форме разделяемой библиотеки («extension=snuffleupagus.so» в php.ini) и disebarkeun ku dilisensikeun dina LGPL 3.0.

Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля входных данных и параметров функций. Например, правило «sp.disable_function.function(«system»).param(«command»).value_r(«[$|;&`\\n]»).drop();» позволяет не изменяя приложения ограничить использование спецсимволов в аргументах функции system(). Аналогично можно создавать patch maya для блокирования известных уязвимостей.

Судя по проведённым разработчиками тестам Snuffleupagus почти не снижает производительность. Для обеспечения собственной безопасности (возможные уязвимости в прослойке для защиты могут служить дополнительным вектором для атак) в проекте применяется доскональное тестирование каждого коммита в разных дистрибутивах, используются системы статического анализа, код оформляется и документируется для упрощения проведения аудита.

Предоставляются встроенные методы для блокирования таких классов уязвимоcтей, как проблемы, patali kalawan serialization data, teu aman pamakéan PHP mail () fungsi, leakage eusi Cookie salila serangan XSS, masalah alatan loading file kalawan kode executable (contona, dina format. phar), kualitas goréng generasi angka acak sarta substitusi constructs XML salah.

Из режимов для повышения защиты PHP поддерживаются:

• Aktipkeun sacara otomatis bendera "aman" sareng "samesite" (proteksi CSRF) pikeun Cookies, enkripsi Cookie;
• Diwangun-di set aturan pikeun ngaidentipikasi ngambah serangan jeung kompromi tina aplikasi;
• Aktivasina global paksaan "soson-soson" (Contona, meungpeuk usaha pikeun nangtukeun string nalika ngarepkeun nilai integer salaku argumen) sareng panyalindungan ngalawan manipulasi tipe;
• Pameungpeuk standar wrappers protokol (contona, ngalarang "phar: //") kalayan daptar bodas anu eksplisit;
• Larangan pikeun ngaéksekusi file anu tiasa ditulis;
• Daptar hideung bodas pikeun eval;
• Diperlukeun pikeun ngaktipkeun mariksa sertipikat TLS nalika nganggo
  ngagulung;

• Nambahkeun HMAC kana objék serialized pikeun mastikeun yén deserialization retrieves data nu disimpen ku aplikasi aslina;
• Ménta mode logging;
• Blocking loading file éksternal di libxml via tumbu dina dokumén XML;
• Kamampuhan pikeun nyambungkeun pawang éksternal (upload_validation) pikeun mariksa sareng nyeken file anu diunggah;

Проект создан и используется для защиты пользователей в инфраструктуре одного из крупных французских операторов хостинга. Kacatet, что просто подключение Snuffleupagus позволило бы защититься от многих опасных уязвимостей, выявленных в этом году в Drupal, WordPress и phpBB. Уязвимости в Magento и Horde могли бы быть блокированы включением режима
«sp.readonly_exec.enable()».

sumber: opennet.ru