Sau một năm phát triển phát hành dự án , предоставляющего модуль к интерпретатору PHP7 для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Накладные расходы от работы модуля оцениваются как минимальные. Модуль написан на языке Си, подключается в форме разделяемой библиотеки («extension=snuffleupagus.so» в php.ini) и được cấp phép theo LGPL 3.0.
Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля входных данных и параметров функций. Например, правило «sp.disable_function.function(«system»).param(«command»).value_r(«[$|;&`\\n]»).drop();» позволяет не изменяя приложения ограничить использование спецсимволов в аргументах функции system(). Предоставляются встроенные методы для блокирования таких классов уязвимоcтей, как проблемы, với việc tuần tự hóa dữ liệu, việc sử dụng hàm PHP mail(), rò rỉ nội dung Cookie trong các cuộc tấn công XSS, sự cố do tải tệp có mã thực thi (ví dụ: ở định dạng ), việc tạo số ngẫu nhiên có chất lượng kém và cấu trúc XML không chính xác.
Предоставляемые в Snuffleupagus режимы повышения защиты PHP:
- Tự động bật cờ "an toàn" và "samesite" (bảo vệ CSRF) cho Cookies, Bánh quy;
- Bộ quy tắc tích hợp để xác định dấu vết của các cuộc tấn công và xâm phạm ứng dụng;
- Buộc kích hoạt toàn cầu "" (ví dụ: chặn nỗ lực chỉ định một chuỗi khi mong đợi một giá trị số nguyên làm đối số) và bảo vệ chống lại ;
- Chặn theo mặc định (ví dụ: cấm "phar://") với danh sách trắng rõ ràng của họ;
- Cấm thực thi các tập tin có thể ghi được;
- Danh sách đen trắng để đánh giá;
- Bắt buộc phải bật kiểm tra chứng chỉ TLS khi sử dụng
Xoăn; - Thêm HMAC vào các đối tượng được tuần tự hóa để đảm bảo quá trình giải tuần tự hóa lấy dữ liệu được ứng dụng gốc lưu trữ;
- Yêu cầu chế độ ghi nhật ký;
- Chặn tải các tệp bên ngoài trong libxml thông qua các liên kết trong tài liệu XML;
- Khả năng kết nối các trình xử lý bên ngoài (upload_validation) để kiểm tra và quét các tệp đã tải lên;
Ở giữa в новом выпуске: Улучшена поддержка PHP 7.4 и реализована совместимость с находящейся в разработке веткой PHP 8. Добавлена возможность журналирования событий через syslog (для включения предложена директива sp.log_media, которая может принимать значения php или syslog). Обновлён предлагаемый по умолчанию набор правил, в который добавлены новые правила для выявленных в последнее время уязвимостей и техник атак на web-приложения. Улучшена поддержка macOS и расширено применение платформы непрерывной интеграции на базе GitLab.
Nguồn: opennet.ru