Dina wates proyék modul pikeun nyambungkeun ka juru PHP7, dirancang pikeun ngaronjatkeun kaamanan lingkungan jeung meungpeuk kasalahan umum nu ngakibatkeun vulnerabilities dina ngajalankeun aplikasi PHP. modul nu ogé ngidinan Anjeun pikeun nyieun patch maya pikeun ngalereskeun masalah husus tanpa ngarobah kodeu sumber tina aplikasi rentan, nu merenah pikeun pamakéan dina sistem hosting masal dimana teu mungkin pikeun nyimpen sakabéh aplikasi pamaké up to date. modul ditulis dina C, disambungkeun dina bentuk perpustakaan dibagikeun ("extension=snuffleupagus.so" dina php.ini) jeung dilisensikeun dina LGPL 3.0.
Snuffleupagus nyadiakeun sistem aturan nu ngidinan Anjeun pikeun make témplat baku pikeun ngaronjatkeun kaamanan, atawa nyieun aturan sorangan pikeun ngadalikeun data input sarta parameter fungsi. Contona, aturan "sp.disable_function.function("system").param("command").value_r("[$|;&`\\n]").drop ();" ngidinan Anjeun pikeun ngawatesan pamakéan karakter husus dina sistem () argumen fungsi tanpa ngarobah aplikasi. Nya kitu, Anjeun bisa nyieun pikeun meungpeuk vulnerabilities dipikawanoh.
Ditilik ku tés anu dilakukeun ku pamekar, Snuffleupagus boro ngirangan kinerja. Pikeun mastikeun kaamanan sorangan (kamungkinan kerentanan dina lapisan kaamanan tiasa janten véktor tambahan pikeun serangan), proyék éta ngagunakeun uji lengkep unggal komitmen dina distribusi anu béda, ngagunakeun sistem analisis statik, sareng kode diformat sareng didokumentasikeun pikeun nyederhanakeun pamariksaan.
Métode diwangun-di disayogikeun pikeun meungpeuk kelas kerentanan sapertos masalah, kalawan serialization data, pamakéan PHP mail () fungsi, leakage eusi Cookie salila serangan XSS, masalah alatan loading file kalawan kode executable (contona, dina format. ), kualitas goréng generasi angka acak sarta constructs XML salah.
Modeu di handap ieu dirojong pikeun ningkatkeun kaamanan PHP:
- Aktipkeun sacara otomatis bendera "aman" sareng "samesite" (proteksi CSRF) pikeun Cookies, Cookie;
- Diwangun-di set aturan pikeun ngaidentipikasi ngambah serangan jeung kompromi tina aplikasi;
- Aktivasina global paksaan "" (Contona, meungpeuk usaha pikeun nangtukeun string nalika ngarepkeun nilai integer salaku argumen) sareng panyalindungan ngalawan ;
- Pameungpeuk standar (contona, ngalarang "phar: //") kalayan daptar bodas anu eksplisit;
- Larangan pikeun ngaéksekusi file anu tiasa ditulis;
- Daptar hideung bodas pikeun eval;
- Diperlukeun pikeun ngaktipkeun mariksa sertipikat TLS nalika nganggo
ngagulung; - Nambahkeun HMAC kana objék serialized pikeun mastikeun yén deserialization retrieves data nu disimpen ku aplikasi aslina;
- Ménta mode logging;
- Blocking loading file éksternal di libxml via tumbu dina dokumén XML;
- Kamampuhan pikeun nyambungkeun pawang éksternal (upload_validation) pikeun mariksa sareng nyeken file anu diunggah;
Proyék ieu didamel sareng dianggo pikeun ngajagi pangguna dina infrastruktur salah sahiji operator hosting Perancis anu ageung. yén ngan saukur nyambungkeun Snuffleupagus bakal ngajaga ngalawan loba kerentanan bahaya dicirikeun taun ieu Drupal, WordPress sarta phpBB. Kerentanan di Magento sareng Horde tiasa diblokir ku cara ngaktipkeun modeu
"sp.readonly_exec.enable ()".
sumber: opennet.ru