Bir yıllık geliştirmenin ardından proje sürümü PHP7 yorumlayıcısına ortamın güvenliğini artırmak ve PHP uygulamalarının çalıştırılmasında güvenlik açıklarına yol açan yaygın hataları engellemek için bir modül sağlayan . Modül ayrıca oluşturmanıza da olanak tanır Tüm kullanıcı uygulamalarını güncel tutmanın mümkün olmadığı toplu barındırma sistemlerinde kullanıma uygun olan güvenlik açığı bulunan uygulamanın kaynak kodunu değiştirmeden belirli sorunları ortadan kaldırmak. Modülün genel giderlerinin minimum düzeyde olacağı tahmin edilmektedir. Modül C dilinde yazılmıştır, paylaşılan bir kütüphane biçiminde bağlanmıştır (php.ini'de “extension=snuffleupagus.so”) ve LGPL 3.0 kapsamında lisanslanmıştır.
Snuffleupagus, güvenliği artırmak için standart şablonlar kullanmanıza veya giriş verilerini ve işlev parametrelerini kontrol etmek için kendi kurallarınızı oluşturmanıza olanak tanıyan bir kural sistemi sağlar. Örneğin, kural “sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” uygulamayı değiştirmeden system() işlevi bağımsız değişkenlerinde özel karakterlerin kullanımını sınırlamanıza olanak tanır. Gibi güvenlik açığı sınıflarını engellemek için yerleşik yöntemler sağlanır. veri serileştirme ile, PHP mail() işlevinin kullanımı, XSS saldırıları sırasında Çerez içeriğinin sızması, yürütülebilir kod içeren dosyaların yüklenmesinden kaynaklanan sorunlar (örneğin, formatta) ), düşük kaliteli rastgele sayı üretimi ve yanlış XML yapıları.
Snuffleupagus tarafından sağlanan PHP güvenlik geliştirme modları:
- Çerezler için "güvenli" ve "samesite" (CSRF koruması) işaretlerini otomatik olarak etkinleştirin, Kurabiye;
- Saldırıların izlerini ve uygulamaların tehlikeye atılmasını tespit etmek için yerleşik kurallar kümesi;
- Zorunlu küresel aktivasyon "" (örneğin, argüman olarak bir tamsayı değeri beklerken bir dize belirtme girişimini engeller) ve buna karşı koruma ;
- Varsayılan engelleme (örneğin, "phar://" ifadesinin açıkça beyaz listeye alınmasının yasaklanması);
- Yazılabilir dosyaların çalıştırılmasının yasaklanması;
- Değerlendirme için kara ve beyaz listeler;
- Kullanırken TLS sertifika kontrolünü etkinleştirmek için gereklidir
kıvrılmak; - Seri durumdan çıkarmanın orijinal uygulama tarafından depolanan verileri almasını sağlamak için serileştirilmiş nesnelere HMAC eklemek;
- Günlük modunu talep edin;
- XML belgelerindeki bağlantılar aracılığıyla harici dosyaların libxml'e yüklenmesini engelleme;
- Yüklenen dosyaları kontrol etmek ve taramak için harici işleyicileri (upload_validation) bağlama yeteneği;
Arasında Yeni sürümde: PHP 7.4 desteği iyileştirildi ve şu anda geliştirilmekte olan PHP 8 dalı ile uyumluluk uygulandı.Syslog aracılığıyla olayları günlüğe kaydetme özelliği eklendi (php veya syslog değerlerini alabilen sp.log_media yönergesinin dahil edilmesi önerildi). Varsayılan kurallar seti, yakın zamanda tespit edilen güvenlik açıkları ve web uygulamalarına yönelik saldırı teknikleri için yeni kurallar içerecek şekilde güncellendi. MacOS için iyileştirilmiş destek ve GitLab'ı temel alan sürekli entegrasyon platformunun genişletilmiş kullanımı.
Kaynak: opennet.ru