إذا كنت مطور ويب ، فربما تكون هذه المقالة موضع اهتمامك حيث سنتحدث قليلاً عن المشروع snuffleupagusوالتي يوفر وحدة لمترجم PHP لزيادة أمان البيئة وحظر الأخطاء النموذجية التي تؤدي إلى نقاط الضعف في تنفيذ تطبيقات PHP.
هذه الوحدة إنه مصمم بطريقة شيقة للغاية ، كما يزيد العمل بشكل كبير ما يجب القيام به من أجل التمكن من النجاح في الهجمات على مواقع الويب ، عن طريق إزالة فئات كاملة من الأخطاء. جدا يوفر نظام تصحيح افتراضي قوي، والذي يسمح للمسؤول بإصلاح ثغرات أمنية معينة وتدقيق السلوك المشبوه دون الحاجة إلى لمس كود PHP.
حول Snuffleupagus
snuffleupagus يتميز بتوفير نظام من القواعد مما يسمح باستخدام كلا القوالب القياسية لزيادة الحماية وإنشاء القواعد الخاصة بك للتحكم في بيانات الإدخال ومعلمات الوظيفة.
وبالإضافة إلى ذلك، يوفر طرقًا مضمنة لمنع فئات الثغرات الأمنية مثل المشكلات المتعلقة بتسلسل البيانات ، والاستخدام غير الآمن لوظيفة PHP mail () ، وفقدان محتوى ملفات تعريف الارتباط أثناء هجمات XSS ، والمشكلات الناتجة عن تنزيل الملفات ذات التعليمات البرمجية القابلة للتنفيذ (على سبيل المثال ، بتنسيق phar) ، واستبدال التركيبات XML غير الصحيحة.
تتيح لك الوحدة أيضًا يسمح لك بإنشاء تصحيحات افتراضية لمسؤول الموقع لإصلاح مشكلات معينة دون تغيير التعليمات البرمجية المصدر للتطبيق ضعيف ، وهو مناسب للاستخدام في أنظمة الاستضافة الجماعية حيث يستحيل تحديث جميع تطبيقات المستخدم.
يتم تقدير المصروفات العامة للموارد المستمدة من تشغيل الوحدة كحد أدنى. الوحدة مكتوبة بلغة سي، متصل في شكل مكتبة مشتركة في ملف "php.ini".
من بين خيارات الأمان التي تقدمها Snuffleupagus ، يبرز ما يلي:
- التضمين التلقائي لعلامتي "آمن" و "نفس الموقع" (الحماية من CSRF) لملفات تعريف الارتباط وتشفير ملفات تعريف الارتباط.
- مجموعة قواعد مضمّنة لتحديد آثار الهجمات وتعريض التطبيقات للخطر.
- التضمين العالمي الإجباري للوضع "الصارم" الذي يمنع على سبيل المثال محاولة تحديد سلسلة أثناء انتظار قيمة عدد صحيح كوسيطة والحماية ضد التلاعب بالنوع.
- المنع الافتراضي لأغلفة البروتوكول (على سبيل المثال ، حظر "phar: //") بإذن صريح منك للقائمة البيضاء.
- تحريم تنفيذ الملفات القابلة للكتابة.
- القوائم السوداء والبيضاء لـ Eval.
- تمكين التحقق الإلزامي من شهادة TLS عند استخدام curl.
- أضف HMAC إلى الكائنات المتسلسلة للتأكد من أن إلغاء التسلسل يسترد البيانات المخزنة بواسطة التطبيق الأصلي.
- طلب وضع التسجيل.
- منع تحميل الملفات الخارجية في libxml باستخدام روابط في مستندات XML.
- القدرة على توصيل برامج التشغيل الخارجية (upload_validation) للتحقق وفحص الملفات التي تم تنزيلها.
- فرض التحقق من صحة شهادة TLS عند استخدام curl
- طلب سعة التحميل
- قاعدة رمز صحية نسبيًا
- حزمة اختبار كاملة مع تغطية تقارب 100٪
- يتم اختبار كل التزام على توزيعات متعددة
معلومات إضافية
حاليا هذه الوحدة في نسختها 0.5.1 وفيه تبرز أ دعم أفضل لـ PHP 7.4 والتوافق المطبق مع فرع PHP 8 (وهو قيد التطوير حاليًا).
إلى جانب ذلك تم تحديث مجموعة القواعد الافتراضية وإلى ماذا تم إضافة قواعد جديدة للثغرات الأمنية المكتشفة حديثًا وتقنيات مهاجمة تطبيقات الويب.
كيفية تثبيت Snuffleupagus على نظام Linux؟
أخيرا للراغبين في أن يكونوا قادرين على تجربة هذه الوحدة في اختبارات pentest لتطبيقاتك من أجل تحسين أمانها أو من أجل زيادة أمان تطبيقاتك.
ما يجب عليهم فعله هو الانتقال إلى الموقع الرسمي من الوحدة و في قسم التنزيل الخاص بك ستتمكن من العثور على إرشادات لبعض توزيعات Linux المختلفة ، الرابط هو هذا.
على أية حال، يمكنهم أيضًا اختيار التثبيت من التعليمات البرمجية المصدر، لهذا يمكنهم اتباع التعليمات مفصل في هذا الارتباط.
أخيرًا وليس آخرًا ، إذا كنت تريد معرفة المزيد عنها ، أو اقرأ الوثائق أو احصل على الكود المصدري للمراجعة ، فيمكنك القيام بذلك. من هذا الرابط.