经过一年的发展 项目发布 ,它为 PHP7 解释器提供了一个模块,以提高环境的安全性并阻止导致运行 PHP 应用程序中的漏洞的常见错误。 该模块还允许您创建 在不更改易受攻击的应用程序的源代码的情况下消除特定问题,这对于无法使所有用户应用程序保持最新的大规模托管系统来说很方便。 该模块的管理费用估计是最小的。 该模块用C语言编写,以共享库的形式连接(php.ini中的“extension=snuffleupagus.so”) 根据 LGPL 3.0 获得许可。
Snuffleupagus 提供了一个规则系统,允许您使用标准模板来提高安全性,或创建自己的规则来控制输入数据和函数参数。 例如,规则“sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” 允许您限制 system() 函数参数中特殊字符的使用,而无需更改应用程序。 提供内置方法来阻止各类漏洞,例如问题、 通过数据序列化, 使用 PHP mail() 函数、XSS 攻击期间 Cookie 内容泄露、由于加载可执行代码文件(例如格式为 ),质量差的随机数生成和 XML 结构不正确。
Snuffleupagus提供的PHP安全增强模式:
- 自动启用 Cookie 的“secure”和“samesite”(CSRF 保护)标志, 曲奇饼;
- 内置规则集,用于识别攻击痕迹和应用程序受损;
- 强制全局激活““(例如,当期望整数值作为参数时阻止尝试指定字符串)并防止 ;
- 默认阻止 (例如,禁止“phar://”)及其明确的白名单;
- 禁止执行可写的文件;
- 用于评估的黑白名单;
- 使用时需要启用TLS证书检查
卷曲; - 为序列化对象添加HMAC,以确保反序列化检索到原始应用程序存储的数据;
- 请求记录模式;
- 阻止通过 XML 文档中的链接加载 libxml 中的外部文件;
- 能够连接外部处理程序(upload_validation)来检查和扫描上传的文件;
其中 新版本中:改进了对 PHP 7.4 的支持,并实现了与当前正在开发的 PHP 8 分支的兼容性。添加了通过 syslog 记录事件的功能(建议包含 sp.log_media 指令,该指令可以采用 php 或 syslog 值)。 默认规则集已更新,包含针对最近发现的漏洞和针对 Web 应用程序的攻击技术的新规则。 改进了对 macOS 的支持,并扩展了基于 GitLab 的持续集成平台的使用。
来源: opennet.ru