Trong ranh giới của dự án một mô-đun để kết nối với trình thông dịch PHP7, được thiết kế để cải thiện tính bảo mật của môi trường và chặn các lỗi phổ biến dẫn đến lỗ hổng khi chạy các ứng dụng PHP. Mô-đun này cũng cho phép bạn tạo các bản vá ảo để khắc phục các sự cố cụ thể mà không thay đổi mã nguồn của ứng dụng dễ bị tấn công, thuận tiện để sử dụng trong các hệ thống lưu trữ lớn, nơi không thể cập nhật tất cả các ứng dụng của người dùng. Mô-đun này được viết bằng C, được kết nối dưới dạng thư viện dùng chung (“extension=snuffleupagus.so” trong php.ini) và được cấp phép theo LGPL 3.0.
Snuffleupagus cung cấp hệ thống quy tắc cho phép bạn sử dụng các mẫu tiêu chuẩn để cải thiện tính bảo mật hoặc tạo quy tắc của riêng bạn để kiểm soát dữ liệu đầu vào và các tham số chức năng. Ví dụ: quy tắc “sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” cho phép bạn hạn chế việc sử dụng các ký tự đặc biệt trong các đối số của hàm system() mà không thay đổi ứng dụng. Tương tự, bạn có thể tạo để chặn các lỗ hổng đã biết.
Đánh giá qua các thử nghiệm do các nhà phát triển thực hiện, Snuffleupagus hầu như không làm giảm hiệu suất. Để đảm bảo tính bảo mật của chính nó (các lỗ hổng tiềm ẩn trong lớp bảo mật có thể đóng vai trò là vectơ bổ sung cho các cuộc tấn công), dự án sử dụng thử nghiệm kỹ lưỡng từng cam kết trong các bản phân phối khác nhau, sử dụng hệ thống phân tích tĩnh và mã được định dạng và ghi lại để đơn giản hóa việc kiểm tra.
Các phương pháp tích hợp được cung cấp để chặn các lớp lỗ hổng như sự cố, với việc tuần tự hóa dữ liệu, việc sử dụng hàm PHP mail(), rò rỉ nội dung Cookie trong các cuộc tấn công XSS, sự cố do tải tệp có mã thực thi (ví dụ: ở định dạng ), việc tạo số ngẫu nhiên có chất lượng kém và cấu trúc XML không chính xác.
Các chế độ sau được hỗ trợ để tăng cường bảo mật PHP:
- Tự động bật cờ "an toàn" và "samesite" (bảo vệ CSRF) cho Cookies, Bánh quy;
- Bộ quy tắc tích hợp để xác định dấu vết của các cuộc tấn công và xâm phạm ứng dụng;
- Buộc kích hoạt toàn cầu "" (ví dụ: chặn nỗ lực chỉ định một chuỗi khi mong đợi một giá trị số nguyên làm đối số) và bảo vệ chống lại ;
- Chặn theo mặc định (ví dụ: cấm "phar://") với danh sách trắng rõ ràng của họ;
- Cấm thực thi các tập tin có thể ghi được;
- Danh sách đen trắng để đánh giá;
- Bắt buộc phải bật kiểm tra chứng chỉ TLS khi sử dụng
Xoăn; - Thêm HMAC vào các đối tượng được tuần tự hóa để đảm bảo quá trình giải tuần tự hóa lấy dữ liệu được ứng dụng gốc lưu trữ;
- Yêu cầu chế độ ghi nhật ký;
- Chặn tải các tệp bên ngoài trong libxml thông qua các liên kết trong tài liệu XML;
- Khả năng kết nối các trình xử lý bên ngoài (upload_validation) để kiểm tra và quét các tệp đã tải lên;
Dự án được tạo và sử dụng để bảo vệ người dùng trong cơ sở hạ tầng của một trong những nhà khai thác dịch vụ lưu trữ lớn của Pháp. rằng chỉ cần kết nối Snuffleupagus sẽ bảo vệ khỏi nhiều lỗ hổng nguy hiểm được xác định trong năm nay ở Drupal, WordPress và phpBB. Các lỗ hổng trong Magento và Horde có thể bị chặn bằng cách bật chế độ này
"sp.readonly_exec.enable()".
Nguồn: opennet.ru