Proje çerçevesinde Ortamın güvenliğini artırmak ve PHP uygulamalarının çalıştırılmasında güvenlik açıklarına yol açan yaygın hataları engellemek için tasarlanmış, PHP7 yorumlayıcısına bağlanmaya yönelik bir modül. Modül ayrıca, güvenlik açığı bulunan uygulamanın kaynak kodunu değiştirmeden belirli sorunları düzeltmek için sanal yamalar oluşturmanıza da olanak tanır; bu, tüm kullanıcı uygulamalarını güncel tutmanın imkansız olduğu toplu barındırma sistemlerinde kullanıma uygundur. Modül C dilinde yazılmıştır, paylaşılan bir kütüphane biçiminde bağlanmıştır (php.ini'de “extension=snuffleupagus.so”) ve LGPL 3.0 kapsamında lisanslanmıştır.
Snuffleupagus, güvenliği artırmak için standart şablonlar kullanmanıza veya giriş verilerini ve işlev parametrelerini kontrol etmek için kendi kurallarınızı oluşturmanıza olanak tanıyan bir kural sistemi sağlar. Örneğin, kural “sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” uygulamayı değiştirmeden system() işlevi bağımsız değişkenlerinde özel karakterlerin kullanımını sınırlamanıza olanak tanır. Benzer şekilde oluşturabilirsiniz Bilinen güvenlik açıklarını engellemek için.
Geliştiriciler tarafından yapılan testlere bakılırsa Snuffleupagus performansı pek düşürmüyor. Proje, kendi güvenliğini sağlamak için (güvenlik katmanındaki olası güvenlik açıkları, saldırılar için ek bir vektör görevi görebilir), farklı dağıtımlardaki her bir işlemin kapsamlı testlerini kullanır, statik analiz sistemleri kullanır ve denetimi basitleştirmek için kod biçimlendirilir ve belgelenir.
Gibi güvenlik açıkları sınıflarını engellemek için yerleşik yöntemler sağlanır. veri serileştirme ile, PHP mail() işlevinin kullanımı, XSS saldırıları sırasında Çerez içeriğinin sızması, yürütülebilir kod içeren dosyaların yüklenmesinden kaynaklanan sorunlar (örneğin, formatta) ), düşük kaliteli rastgele sayı üretimi ve yanlış XML yapıları.
PHP güvenliğini geliştirmek için aşağıdaki modlar desteklenir:
- Çerezler için "güvenli" ve "samesite" (CSRF koruması) işaretlerini otomatik olarak etkinleştirin, Kurabiye;
- Saldırıların izlerini ve uygulamaların tehlikeye atılmasını tespit etmek için yerleşik kurallar kümesi;
- Zorunlu küresel aktivasyon "" (örneğin, argüman olarak bir tamsayı değeri beklerken bir dize belirtme girişimini engeller) ve buna karşı koruma ;
- Varsayılan engelleme (örneğin, "phar://" ifadesinin açıkça beyaz listeye alınmasının yasaklanması);
- Yazılabilir dosyaların çalıştırılmasının yasaklanması;
- Değerlendirme için kara ve beyaz listeler;
- Kullanırken TLS sertifika kontrolünü etkinleştirmek için gereklidir
kıvrılmak; - Seri durumdan çıkarmanın orijinal uygulama tarafından depolanan verileri almasını sağlamak için serileştirilmiş nesnelere HMAC eklemek;
- Günlük modunu talep edin;
- XML belgelerindeki bağlantılar aracılığıyla harici dosyaların libxml'e yüklenmesini engelleme;
- Yüklenen dosyaları kontrol etmek ve taramak için harici işleyicileri (upload_validation) bağlama yeteneği;
Proje, büyük Fransız barındırma operatörlerinden birinin altyapısındaki kullanıcıları korumak için oluşturuldu ve kullanıldı. Snuffleupagus'u bağlamanın bu yıl Drupal, WordPress ve phpBB'de tespit edilen tehlikeli güvenlik açıklarının çoğuna karşı koruma sağlayacağını söyledi. Magento ve Horde'daki güvenlik açıkları, mod etkinleştirilerek engellenebilir
"sp.readonly_exec.enable()".
Kaynak: opennet.ru