經過一年的發展 項目發布 ,它為 PHP7 解釋器提供了一個模組,以提高環境的安全性並阻止導致運行 PHP 應用程式中的漏洞的常見錯誤。該模組還允許您創建 在不更改易受攻擊的應用程式的原始程式碼的情況下消除特定問題,這對於無法使所有用戶應用程式保持最新的大規模託管系統來說很方便。此模組的管理費用估計是最小的。此模組以C語言編寫,以共享庫的形式連接(php.ini中的“extension=snuffleupagus.so”) 根據 LGPL 3.0 獲得許可。
Snuffleupagus 提供了一個規則系統,讓您可以使用標準範本來提高安全性,或建立自己的規則來控制輸入資料和函數參數。例如,規則“sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();”允許您限制 system() 函數參數中特殊字元的使用,而無需更改應用程式。提供內建方法來阻止各類漏洞,例如問題、 透過資料序列化, 使用 PHP mail() 函數、XSS 攻擊期間 Cookie 內容洩漏、由於載入可執行程式碼檔案(例如格式為 ),品質差的隨機數產生和 XML 結構不正確。
Snuffleupagus提供的PHP安全增強模式:
- 自動啟用 Cookie 的「secure」和「samesite」(CSRF 保護)標誌, 餅乾;
- 內建規則集,用於識別攻擊痕跡和應用程式受損;
- 強制全域啟動“「(例如,當期望整數值作為參數時阻止嘗試指定字串)並防止 ;
- 預設阻止 (例如,禁止「phar://」)及其明確的白名單;
- 禁止執行可寫的文件;
- 用於評估的黑白名單;
- 使用時需要啟用TLS憑證檢查
捲曲; - 為序列化物件新增HMAC,以確保反序列化擷取到原始應用程式儲存的資料;
- 請求記錄模式;
- 阻止透過 XML 文件中的連結載入 libxml 中的外部文件;
- 能夠連接外部處理程序(upload_validation)來檢查和掃描上傳的檔案;
其中 新版本中:改進了對PHP 7.4 的支持,並實現了與目前正在開發的PHP 8 分支的兼容性。值)。預設規則集已更新,包含最近發現的漏洞和針對 Web 應用程式的攻擊技術的新規則。改進了對 macOS 的支持,並擴展了基於 GitLab 的持續整合平台的使用。
來源: opennet.ru