在项目的框架内 用于连接 PHP7 解释器的模块,旨在提高环境的安全性并阻止导致运行 PHP 应用程序中的漏洞的常见错误。 该模块还允许您创建虚拟补丁来修复特定问题,而无需更改易受攻击的应用程序的源代码,这对于无法使所有用户应用程序保持最新的大规模托管系统来说很方便。 该模块用C语言编写,以共享库的形式连接(php.ini中的“extension=snuffleupagus.so”) 根据 LGPL 3.0 获得许可。
Snuffleupagus 提供了一个规则系统,允许您使用标准模板来提高安全性,或创建自己的规则来控制输入数据和函数参数。 例如,规则“sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” 允许您限制 system() 函数参数中特殊字符的使用,而无需更改应用程序。 同样,您可以创建 阻止已知漏洞。
从开发人员进行的测试来看,Snuffleupagus 几乎不会降低性能。 为了确保自身的安全性(安全层中可能存在的漏洞可以作为额外的攻击媒介),该项目对不同发行版中的每次提交进行彻底测试,使用静态分析系统,并对代码进行格式化和记录以简化审核。
提供内置方法来阻止各类漏洞,例如问题、 通过数据序列化, 使用 PHP mail() 函数、XSS 攻击期间 Cookie 内容泄露、由于加载可执行代码文件(例如格式为 ),质量差的随机数生成和 XML 结构不正确。
支持以下模式来增强PHP安全性:
- 自动启用 Cookie 的“secure”和“samesite”(CSRF 保护)标志, 曲奇饼;
- 内置规则集,用于识别攻击痕迹和应用程序受损;
- 强制全局激活““(例如,当期望整数值作为参数时阻止尝试指定字符串)并防止 ;
- 默认阻止 (例如,禁止“phar://”)及其明确的白名单;
- 禁止执行可写的文件;
- 用于评估的黑白名单;
- 使用时需要启用TLS证书检查
卷曲; - 为序列化对象添加HMAC,以确保反序列化检索到原始应用程序存储的数据;
- 请求记录模式;
- 阻止通过 XML 文档中的链接加载 libxml 中的外部文件;
- 能够连接外部处理程序(upload_validation)来检查和扫描上传的文件;
该项目的创建和使用是为了保护法国大型托管运营商之一的基础设施中的用户。 只需连接 Snuffleupagus 就可以防范今年在 Drupal、WordPress 和 phpBB 中发现的许多危险漏洞。 Magento 和 Horde 中的漏洞可以通过启用
“sp.readonly_exec.enable()”。
来源: opennet.ru