Kutolewa kwa Snuffleupagus 0.5.1, moduli ya kuzuia udhaifu katika programu za PHP

Baada ya mwaka wa maendeleo iliyochapishwa kutolewa kwa mradi Snuffleupagus 0.5.1, предоставляющего модуль к интерпретатору PHP7 для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать viraka halisi для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Накладные расходы от работы модуля оцениваются как минимальные. Модуль написан на языке Си, подключается в форме разделяемой библиотеки («extension=snuffleupagus.so» в php.ini) и kusambazwa na iliyopewa leseni chini ya LGPL 3.0.

Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля входных данных и параметров функций. Например, правило «sp.disable_function.function(«system»).param(«command»).value_r(«[$|;&`\\n]»).drop();» позволяет не изменяя приложения ограничить использование спецсимволов в аргументах функции system(). Предоставляются встроенные методы для блокирования таких классов уязвимоcтей, как проблемы, kuhusiana na utayarishaji wa data, isiyo salama utumiaji wa barua ya PHP () utendakazi, kuvuja kwa yaliyomo kwenye Vidakuzi wakati wa shambulio la XSS, shida kwa sababu ya upakiaji wa faili zilizo na nambari inayoweza kutekelezwa (kwa mfano, katika umbizo. far), ubora duni wa kutengeneza nambari nasibu na badala miundo isiyo sahihi ya XML.

Предоставляемые в Snuffleupagus режимы повышения защиты PHP:

• Washa bendera za "salama" na "samesite" (CSRF) kwa Vidakuzi kiotomatiki, usimbaji fiche Kuki;
• Seti ya sheria iliyojumuishwa ili kutambua athari za mashambulizi na maelewano ya maombi;
• Kulazimishwa uanzishaji wa kimataifa wa "mkali" (kwa mfano, huzuia jaribio la kutaja mfuatano wakati wa kutarajia thamani kamili kama hoja) na ulinzi dhidi ya aina ghiliba;
• Uzuiaji chaguomsingi vifungashio vya itifaki (kwa mfano, kupiga marufuku "phar://") kwa kuorodhesha kwao waziwazi;
• Marufuku ya kutekeleza faili zinazoweza kuandikwa;
• Orodha nyeusi na nyeupe kwa eval;
• Inahitajika ili kuwezesha ukaguzi wa cheti cha TLS unapotumia
  curl;
• Kuongeza HMAC kwa vipengee vilivyowekwa mfululizo ili kuhakikisha kuwa uondoaji wa data hurejesha data iliyohifadhiwa na programu asilia;
• Omba hali ya kuingia;
• Kuzuia upakiaji wa faili za nje katika libxml kupitia viungo katika hati za XML;
• Uwezo wa kuunganisha vidhibiti vya nje (upload_validation) ili kuangalia na kuchambua faili zilizopakiwa;

Miongoni mwa mabadiliko в новом выпуске: Улучшена поддержка PHP 7.4 и реализована совместимость с находящейся в разработке веткой PHP 8. Добавлена возможность журналирования событий через syslog (для включения предложена директива sp.log_media, которая может принимать значения php или syslog). Обновлён предлагаемый по умолчанию набор правил, в который добавлены новые правила для выявленных в последнее время уязвимостей и техник атак на web-приложения. Улучшена поддержка macOS и расширено применение платформы непрерывной интеграции на базе GitLab.

Chanzo: opennet.ru