โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > การเปิดตัว Snuffleupagus 0.5.1 ซึ่งเป็นโมดูลสำหรับบล็อกช่องโหว่ในแอปพลิเคชัน PHP

การเปิดตัว Snuffleupagus 0.5.1 ซึ่งเป็นโมดูลสำหรับบล็อกช่องโหว่ในแอปพลิเคชัน PHP

หลังจากหนึ่งปีของการพัฒนา การตีพิมพ์ การเปิดตัวโครงการ Snuffleupagus 0.5.1, предоставляющего модуль к интерпретатору PHP7 для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать แพทช์เสมือน для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Накладные расходы от работы модуля оцениваются как минимальные. Модуль написан на языке Си, подключается в форме разделяемой библиотеки («extension=snuffleupagus.so» в php.ini) и จัดจำหน่ายโดย ได้รับใบอนุญาตภายใต้ LGPL 3.0

Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля входных данных и параметров функций. Например, правило «sp.disable_function.function(«system»).param(«command»).value_r(«[$|;&`\\n]»).drop();» позволяет не изменяя приложения ограничить использование спецсимволов в аргументах функции system(). Предоставляются встроенные методы для блокирования таких классов уязвимоcтей, как проблемы, ที่เกี่ยวข้อง ด้วยการทำให้เป็นอนุกรมข้อมูล ไม่ปลอดภัย การใช้ฟังก์ชัน PHP mail() การรั่วไหลของเนื้อหาคุกกี้ระหว่างการโจมตี XSS ปัญหาเนื่องจากการโหลดไฟล์ด้วยรหัสสั่งการ (เช่น ในรูปแบบ ฟาร์) การสร้างตัวเลขสุ่มคุณภาพต่ำและ การแทน โครงสร้าง XML ไม่ถูกต้อง

Предоставляемые в Snuffleupagus режимы повышения защиты PHP:

  • การเปิดใช้งานแฟล็ก "ปลอดภัย" และ "samesite" (การป้องกัน CSRF) โดยอัตโนมัติสำหรับคุกกี้ การเข้ารหัส คุกกี้;
  • ชุดกฎในตัวเพื่อตรวจจับร่องรอยของการโจมตีและแอปพลิเคชันที่ถูกบุกรุก
  • บังคับโหมดเปิดใช้งานทั่วโลก "เข้มงวด» (ตัวอย่างเช่น บล็อกความพยายามที่จะระบุสตริงในขณะที่คาดหวังค่าจำนวนเต็มเป็นอาร์กิวเมนต์) และป้องกัน การจัดการประเภท;
  • การปิดกั้นโดยค่าเริ่มต้น กระดาษห่อสำหรับโปรโตคอล (เช่น ข้อห้ามของ "phar://") โดยได้รับอนุญาตอย่างชัดแจ้งตามรายการที่อนุญาต
  • ข้อห้ามในการใช้งานไฟล์ที่สามารถเขียนได้
  • รายการขาวดำสำหรับ eval;
  • เปิดใช้งานการตรวจสอบใบรับรอง TLS ที่จำเป็นเมื่อใช้
    ขด;
  • การเพิ่ม HMAC ให้กับออบเจกต์ซีเรียลไลซ์เพื่อให้แน่ใจว่าการดีซีเรียลไลเซชันดึงข้อมูลที่จัดเก็บโดยแอปพลิเคชันดั้งเดิม
  • ขอโหมดบันทึก;
  • การบล็อกการโหลดไฟล์ภายนอกใน libxml จากลิงก์ในเอกสาร XML
  • ความสามารถในการเชื่อมต่อตัวจัดการภายนอก (upload_validation) เพื่อตรวจสอบและสแกนไฟล์ที่อัปโหลด

ในหมู่ การเปลี่ยนแปลง в новом выпуске: Улучшена поддержка PHP 7.4 и реализована совместимость с находящейся в разработке веткой PHP 8. Добавлена возможность журналирования событий через syslog (для включения предложена директива sp.log_media, которая может принимать значения php или syslog). Обновлён предлагаемый по умолчанию набор правил, в который добавлены новые правила для выявленных в последнее время уязвимостей и техник атак на web-приложения. Улучшена поддержка macOS и расширено применение платформы непрерывной интеграции на базе GitLab.

ที่มา: opennet.ru

เพิ่มความคิดเห็น