主持人 > 博客 > 網絡新聞 > 發布 Snuffleupagus 0.5.1,一個用於阻止 PHP 應用程式漏洞的模組

發布 Snuffleupagus 0.5.1,一個用於阻止 PHP 應用程式漏洞的模組

經過一年的發展 發表 項目發布 Snuffleupagus 0.5.1, предоставляющего модуль к интерпретатору PHP7 для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать 虛擬補丁 для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Накладные расходы от работы модуля оцениваются как минимальные. Модуль написан на языке Си, подключается в форме разделяемой библиотеки («extension=snuffleupagus.so» в php.ini) и 分發者 根據 LGPL 3.0 獲得許可。

Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля входных данных и параметров функций. Например, правило «sp.disable_function.function(«system»).param(«command»).value_r(«[$|;&`\\n]»).drop();» позволяет не изменяя приложения ограничить использование спецсимволов в аргументах функции system(). Предоставляются встроенные методы для блокирования таких классов уязвимоcтей, как проблемы, 有關的 透過資料序列化, 不安全 使用 PHP mail() 函數、XSS 攻擊期間 Cookie 內容洩漏、由於載入可執行程式碼檔案(例如格式為 法爾),品質差的隨機數產生和 代換 XML 結構不正確。

Предоставляемые в Snuffleupagus режимы повышения защиты PHP:

  • 自動啟用 Cookie 的「secure」和「samesite」(CSRF 保護)標誌, 加密 餅乾;
  • 內建規則集,用於識別攻擊痕跡和應用程式受損;
  • 強制全域啟動“嚴格「(例如,當期望整數值作為參數時阻止嘗試指定字串)並防止 類型操作;
  • 預設阻止 協議包裝器 (例如,禁止「phar://」)及其明確的白名單;
  • 禁止執行可寫的文件;
  • 用於評估的黑白名單;
  • 使用時需要啟用TLS憑證檢查
    捲曲;
  • 為序列化物件新增HMAC,以確保反序列化擷取到原始應用程式儲存的資料;
  • 請求記錄模式;
  • 阻止透過 XML 文件中的連結載入 libxml 中的外部文件;
  • 能夠連接外部處理程序(upload_validation)來檢查和掃描上傳的檔案;

其中 變化 в новом выпуске: Улучшена поддержка PHP 7.4 и реализована совместимость с находящейся в разработке веткой PHP 8. Добавлена возможность журналирования событий через syslog (для включения предложена директива sp.log_media, которая может принимать значения php или syslog). Обновлён предлагаемый по умолчанию набор правил, в который добавлены новые правила для выявленных в последнее время уязвимостей и техник атак на web-приложения. Улучшена поддержка macOS и расширено применение платформы непрерывной интеграции на базе GitLab.

來源: opennet.ru

添加評論