Katika mipaka ya mradi moduli ya kuunganisha kwa mkalimani wa PHP7, iliyoundwa ili kuboresha usalama wa mazingira na kuzuia makosa ya kawaida ambayo husababisha udhaifu katika kuendesha programu za PHP. Moduli pia hukuruhusu kuunda viraka vya kawaida ili kurekebisha shida maalum bila kubadilisha msimbo wa chanzo cha programu iliyo hatarini, ambayo ni rahisi kutumia katika mifumo ya mwenyeji wa watu wengi ambapo haiwezekani kusasisha programu zote za watumiaji. Moduli imeandikwa kwa C, imeunganishwa kwa namna ya maktaba iliyoshirikiwa ("extension=snuffleupagus.so" katika php.ini) na iliyopewa leseni chini ya LGPL 3.0.
Snuffleupagus hutoa mfumo wa sheria unaokuwezesha kutumia violezo vya kawaida ili kuboresha usalama, au kuunda sheria zako mwenyewe ili kudhibiti data ya uingizaji na vigezo vya kazi. Kwa mfano, kanuni ya βsp.disable_function.function(βsystemβ).param(βcommandβ).value_r(β[$|;&`\\n]β).tone();β hukuruhusu kupunguza utumiaji wa herufi maalum katika hoja za kazi za system() bila kubadilisha programu. Vile vile, unaweza kuunda kuzuia udhaifu unaojulikana.
Kwa kuzingatia majaribio yaliyofanywa na watengenezaji, Snuffleupagus inapunguza sana utendaji. Ili kuhakikisha usalama wake yenyewe (udhaifu unaowezekana katika safu ya usalama unaweza kutumika kama vekta ya ziada ya mashambulizi), mradi hutumia majaribio ya kina ya kila ahadi katika usambazaji tofauti, hutumia mifumo ya uchanganuzi tuli, na msimbo hupangwa na kurekodiwa ili kurahisisha ukaguzi.
Mbinu zilizojumuishwa zimetolewa ili kuzuia aina za udhaifu kama vile masuala, na utayarishaji wa data, utumiaji wa barua ya PHP () utendakazi, kuvuja kwa yaliyomo kwenye Vidakuzi wakati wa shambulio la XSS, shida kwa sababu ya upakiaji wa faili zilizo na nambari inayoweza kutekelezwa (kwa mfano, katika umbizo. ), ubora duni wa kutengeneza nambari nasibu na miundo isiyo sahihi ya XML.
Njia zifuatazo zinatumika ili kuimarisha usalama wa PHP:
- Washa bendera za "salama" na "samesite" (CSRF) kwa Vidakuzi kiotomatiki, Kuki;
- Seti ya sheria iliyojumuishwa ili kutambua athari za mashambulizi na maelewano ya maombi;
- Kulazimishwa uanzishaji wa kimataifa wa "" (kwa mfano, huzuia jaribio la kutaja mfuatano wakati wa kutarajia thamani kamili kama hoja) na ulinzi dhidi ya ;
- Uzuiaji chaguomsingi (kwa mfano, kupiga marufuku "phar://") kwa kuorodhesha kwao waziwazi;
- Marufuku ya kutekeleza faili zinazoweza kuandikwa;
- Orodha nyeusi na nyeupe kwa eval;
- Inahitajika ili kuwezesha ukaguzi wa cheti cha TLS unapotumia
curl; - Kuongeza HMAC kwa vipengee vilivyowekwa mfululizo ili kuhakikisha kuwa uondoaji wa data hurejesha data iliyohifadhiwa na programu asilia;
- Omba hali ya kuingia;
- Kuzuia upakiaji wa faili za nje katika libxml kupitia viungo katika hati za XML;
- Uwezo wa kuunganisha vidhibiti vya nje (upload_validation) ili kuangalia na kuchambua faili zilizopakiwa;
Mradi huu uliundwa na kutumika kulinda watumiaji katika miundombinu ya mojawapo ya waendeshaji waandamizi wakuu wa Ufaransa. kwamba kuunganisha tu Snuffleupagus kungelinda dhidi ya udhaifu mwingi hatari uliotambuliwa mwaka huu katika Drupal, WordPress na phpBB. Athari kwenye Magento na Horde zinaweza kuzuiwa kwa kuwasha modi
"sp.readonly_exec.enable()".
Chanzo: opennet.ru