Ако сте уеб разработчик, може би тази статия ще ви интересува, тъй като в нея ще поговорим малко за проекта емфиекойто предоставя модул на PHP интерпретатора за повишаване на сигурността на околната среда и блокират типичните грешки, които водят до уязвимости при изпълнението на PHP приложения.
Този модул Той е проектиран по много интересен начин, като драстично увеличава работата какво трябва да се направи за да успеем в атаки срещу уебсайтове, чрез премахване на цели класове грешки. Също осигурява мощна виртуална система за корекции, което позволява на администратора да коригира специфични уязвимости и да проверява подозрително поведение, без да се налага да докосва PHP кода.
Относно Snuffleupagus
емфие се характеризира с осигурява система от правила което позволява да се използват и двата стандартни шаблона за да увеличите защитата и да създадете свои собствени правила за контрол на входните данни и функционалните параметри.
Също, осигурява вградени методи за блокиране на класове на уязвимост като проблеми, свързани със сериализация на данни, несигурно използване на функцията PHP mail (), загуба на съдържание на бисквитки по време на XSS атаки, проблеми поради изтегляне на файлове с изпълним код (например във формат phar), Замяна на конструкции Неправилен XML.
Модулът също ви позволява ви позволява да създавате виртуални кръпки на администратора на уебсайта за да коригирате специфични проблеми, без да променяте изходния код на приложението уязвима, което е подходящо за използване в системи за масово хостиране, където е невъзможно да се поддържат актуални всички потребителски приложения.
Общите разходи за ресурси, получени от работата на модула, се изчисляват като минимални. Модулът е написан на C език, е свързан под формата на споделена библиотека във файла "php.ini".
От опциите за сигурност, предлагани от Snuffleupagus, се открояват следните:
- Автоматично включване на флагове „safe“ и „samesite“ (защита срещу CSRF) за бисквитки, криптиране на бисквитки.
- Вграден набор от правила за идентифициране на следи от атаки и компрометиращи приложения.
- Принудително глобално включване на строгия режим "строг", който например блокира опита за задаване на низ, докато се чака целочислена стойност като аргумент и защита срещу манипулация на типа.
- Блокирането по подразбиране на обвивките на протоколи (например забраната "phar: //") с вашето изрично разрешение за белия списък.
- Забрана за изпълнение на файлове с възможност за запис.
- Черно-бели списъци за eval.
- Активиране на задължително валидиране на TLS сертификата при използване на curl.
- Добавете HMAC към сериализирани обекти, за да сте сигурни, че десериализацията извлича данните, съхранявани от оригиналното приложение.
- Заявете режим за регистрация.
- Блокирайте зареждането на външни файлове в libxml, като използвате връзки в XML документи.
- Възможност за свързване на външни драйвери (upload_validation) за проверка и сканиране на изтеглени файлове.
- Прилагане на валидиране на TLS сертификат при използване на curl
- Заявете капацитет за изтегляне
- Сравнително здравословна кодова база
- Пълен тестов пакет с покритие близо до 100%
- Всеки ангажимент се тества на множество дистрибуции
допълнителна информация
В момента този модул е в своята версия 0.5.1 и в него се откроява a по-добра поддръжка за PHP 7.4 и внедри съвместимост с клон PHP 8 (който в момента се разработва).
Освен, че наборът от правила по подразбиране е актуализиран и към какво добавени са нови правила за новооткрити уязвимости и техники за атака на уеб приложения.
Как да инсталирам Snuffleupagus на Linux?
Накрая за тези, които се интересуват от възможността да изпробват този модул в пентест тестове на вашите приложения, за да подобрите сигурността им или за да увеличите сигурността на вашите приложения.
Това, което трябва да направят, е да отидат на официалния уебсайт на модула и в секцията за изтегляне Ще можете да намерите инструкции за някои от различните дистрибуции на Linux, връзката е тази.
Макар, те също могат да изберат да инсталират от изходния код, за това те могат да следват инструкциите подробно в тази връзка.
Не на последно място, ако искате да научите повече за това, да прочетете документацията или да получите изходния код за преглед, можете да го направите. от тази връзка.