在項目邊界內 用於連接 PHP7 解釋器的模組,旨在提高環境的安全性並阻止導致運行 PHP 應用程式中的漏洞的常見錯誤。該模組還允許您創建虛擬補丁來修復特定問題,而無需更改易受攻擊的應用程式的原始程式碼,這對於無法使所有用戶應用程式保持最新的大規模託管系統來說很方便。此模組以C語言編寫,以共享庫的形式連接(php.ini中的“extension=snuffleupagus.so”) 根據 LGPL 3.0 獲得許可。
Snuffleupagus 提供了一個規則系統,讓您可以使用標準範本來提高安全性,或建立自己的規則來控制輸入資料和函數參數。例如,規則“sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();”允許您限制 system() 函數參數中特殊字元的使用,而無需更改應用程式。同樣,您可以創建 阻止已知漏洞。
從開發人員進行的測試來看,Snuffleupagus 幾乎不會降低效能。為了確保自身的安全性(安全層中可能存在的漏洞可以作為額外的攻擊媒介),該專案對不同發行版中的每次提交進行徹底測試,使用靜態分析系統,並對程式碼進行格式化和記錄以簡化審核。
提供內建方法來阻止各類漏洞,例如問題、 透過資料序列化, 使用 PHP mail() 函數、XSS 攻擊期間 Cookie 內容洩漏、由於載入可執行程式碼檔案(例如格式為 ),品質差的隨機數產生和 XML 結構不正確。
支援以下模式來增強PHP安全性:
- 自動啟用 Cookie 的「secure」和「samesite」(CSRF 保護)標誌, 餅乾;
- 內建規則集,用於識別攻擊痕跡和應用程式受損;
- 強制全域啟動“「(例如,當期望整數值作為參數時阻止嘗試指定字串)並防止 ;
- 預設阻止 (例如,禁止「phar://」)及其明確的白名單;
- 禁止執行可寫的文件;
- 用於評估的黑白名單;
- 使用時需要啟用TLS憑證檢查
捲曲; - 為序列化物件新增HMAC,以確保反序列化擷取到原始應用程式儲存的資料;
- 請求記錄模式;
- 阻止透過 XML 文件中的連結載入 libxml 中的外部文件;
- 能夠連接外部處理程序(upload_validation)來檢查和掃描上傳的檔案;
該專案的創建和使用是為了保護法國大型託管營運商之一的基礎設施中的用戶。 只要連接 Snuffleupagus 就可以防範今年在 Drupal、WordPress 和 phpBB 中發現的許多危險漏洞。 Magento 和 Horde 中的漏洞可以透過啟用該模式來阻止
「sp.readonly_exec.enable()」。
來源: opennet.ru