Prohoster > Blog > tin tức mạng > Phát hành Snuffleupagus 0.5.1, mô-đun chặn lỗ hổng trong ứng dụng PHP

Phát hành Snuffleupagus 0.5.1, mô-đun chặn lỗ hổng trong ứng dụng PHP

Sau một năm phát triển xuất bản phát hành dự án Snuffleupagus 0.5.1, cung cấp một mô-đun cho trình thông dịch PHP7 để cải thiện tính bảo mật của môi trường và chặn các lỗi phổ biến dẫn đến lỗ hổng khi chạy các ứng dụng PHP. Mô-đun này cũng cho phép bạn tạo bản vá ảo để loại bỏ các sự cố cụ thể mà không thay đổi mã nguồn của ứng dụng dễ bị tấn công, điều này thuận tiện để sử dụng trong các hệ thống lưu trữ hàng loạt nơi không thể cập nhật tất cả các ứng dụng của người dùng. Chi phí chung của mô-đun được ước tính là tối thiểu. Mô-đun này được viết bằng C, được kết nối dưới dạng thư viện dùng chung (“extension=snuffleupagus.so” trong php.ini) và phân phối bởi được cấp phép theo LGPL 3.0.

Snuffleupagus cung cấp hệ thống quy tắc cho phép bạn sử dụng các mẫu tiêu chuẩn để cải thiện tính bảo mật hoặc tạo quy tắc của riêng bạn để kiểm soát dữ liệu đầu vào và các tham số chức năng. Ví dụ: quy tắc “sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” cho phép bạn hạn chế việc sử dụng các ký tự đặc biệt trong các đối số của hàm system() mà không thay đổi ứng dụng. Các phương pháp tích hợp được cung cấp để chặn các lớp lỗ hổng như sự cố, Связанные với việc tuần tự hóa dữ liệu, không an toàn việc sử dụng hàm PHP mail(), rò rỉ nội dung Cookie trong các cuộc tấn công XSS, sự cố do tải tệp có mã thực thi (ví dụ: ở định dạng phar), việc tạo số ngẫu nhiên có chất lượng kém và thay thế cấu trúc XML không chính xác.

Các chế độ nâng cao bảo mật PHP do Snuffleupagus cung cấp:

  • Tự động bật cờ "an toàn" và "samesite" (bảo vệ CSRF) cho Cookies, mã hóa Bánh quy;
  • Bộ quy tắc tích hợp để xác định dấu vết của các cuộc tấn công và xâm phạm ứng dụng;
  • Buộc kích hoạt toàn cầu "khắt khe" (ví dụ: chặn nỗ lực chỉ định một chuỗi khi mong đợi một giá trị số nguyên làm đối số) và bảo vệ chống lại thao tác kiểu;
  • Chặn theo mặc định trình bao bọc giao thức (ví dụ: cấm "phar://") với danh sách trắng rõ ràng của họ;
  • Cấm thực thi các tập tin có thể ghi được;
  • Danh sách đen trắng để đánh giá;
  • Bắt buộc phải bật kiểm tra chứng chỉ TLS khi sử dụng
    Xoăn;
  • Thêm HMAC vào các đối tượng được tuần tự hóa để đảm bảo quá trình giải tuần tự hóa lấy dữ liệu được ứng dụng gốc lưu trữ;
  • Yêu cầu chế độ ghi nhật ký;
  • Chặn tải các tệp bên ngoài trong libxml thông qua các liên kết trong tài liệu XML;
  • Khả năng kết nối các trình xử lý bên ngoài (upload_validation) để kiểm tra và quét các tệp đã tải lên;

Ở giữa thay đổi trong bản phát hành mới: Cải thiện khả năng hỗ trợ cho PHP 7.4 và triển khai khả năng tương thích với nhánh PHP 8 hiện đang được phát triển. Đã thêm khả năng ghi nhật ký các sự kiện thông qua syslog (lệnh sp.log_media được đề xuất đưa vào, có thể lấy các giá trị php hoặc syslog). Bộ quy tắc mặc định đã được cập nhật để bao gồm các quy tắc mới cho các lỗ hổng và kỹ thuật tấn công được xác định gần đây đối với các ứng dụng web. Cải thiện hỗ trợ cho macOS và mở rộng việc sử dụng nền tảng tích hợp liên tục dựa trên GitLab.

Nguồn: opennet.ru

Thêm một lời nhận xét