Snuffleupagus, un excel·lent mòdul per bloquejar vulnerabilitats en aplicacions PHP

Darkcrizt

4 minuts

Si ets desenvolupador web, potser aquest article sigui del teu interès ja que en el parlarem una mica sobre el projecte Snuffleupagus, El qual proporciona un mòdul a l'intèrpret de PHP per augmentar la seguretat de l'entorn i bloquejar els errors típics que condueixen a vulnerabilitats en l'execució d'aplicacions PHP.

aquest mòdul aquesta dissenyat d'una forma bastant interessant, ja que augmenta dràsticament el treball que s'ha de realitzar per poder tenir èxit en els atacs contra llocs web, a l'eliminar classes completes d'errors. també proporciona un potent sistema de pegats virtuals, Que permet l'administrador corregir vulnerabilitats específiques i auditar comportaments sospitosos sense haver de tocar el codi PHP.

sobre Snuffleupagus

Snuffleupagus es caracteritza per proporciona un sistema de regles que permet usar les dues plantilles estàndard per augmentar la protecció i crear les seves pròpies regles per controlar les dades d'entrada i els paràmetres de funció.

A més, proporciona mètodes incorporats per bloquejar classes de vulnerabilitats com problemes relacionats amb la serialització de dades, ús insegur de la funció PHP mail (), pèrdua de contingut de cookies durant atacs XSS, problemes a causa de la descàrrega d'arxius amb codi executable (per exemple, en format Phar), Substitució de construccions XML incorrectes.

El mòdul també li permet crear pegats virtuals a l'administrador de la pàgina web per solucionar problemes específics sense canviar el codi font de l'aplicació vulnerable, la qual cosa és convenient per al seu ús en sistemes d'allotjament massiu on és impossible mantenir actualitzades totes les aplicacions dels usuaris.

Les despeses generals de recursos derivats de l'funcionament de la lliçó s'estimen com a mínims. El mòdul està escrit en llenguatge C, Està connectat en forma d'una biblioteca compartida en el fitxer "php.ini".

De les opcions de seguretat que ofereix Snuffleupagus, es destaquen les següents:

  • Inclusió automàtica de banderes «segures» i «samesite» (protecció contra CSRF) per galetes, xifrat de cookies.
  • Conjunt incorporat de regles per identificar rastres d'atacs i aplicacions comprometedores.
  • La inclusió global forçada de la manera estricte «strict» que per exemple, bloqueja l'intent d'especificar una cadena mentre s'espera un valor sencer com a argument i la protecció contra la manipulació de tipus.
  • El bloqueig per defecte d'embolcalls per protocols (per exemple, la prohibició «Phar: //») amb el seu permís explícit per a la llista blanca.
  • Prohibició de l'execució d'arxius que es poden escriure.
  • Llistes en blanc i negre per aval.
  • Habilitació de la validació obligatòria de l'certificat TLS quan s'usa curl.
  • Afegir HMAC a objectes serialitzats per garantir que la deserialització recuperi les dades emmagatzemades per l'aplicació original.
  • Sol·licitar manera de registre.
  • Bloquejar la càrrega d'arxius externs en libxml usant enllaços a documents XML.
  • Possibilitat de connectar controladors externs (upload_validation) per verificar i escanejar arxius descarregats.
  • Fer complir la validació de l'certificat TLS quan s'usa curl
  • Sol·licitar capacitat de descàrrega
  • Una base de codi relativament sana
  • Un complet paquet de proves amb una cobertura propera a el 100%
  • Cada confirmació es prova en diverses distribucions

Informació addicional

Actualment aquest mòdul es troba en la seva versió 0.5.1 i en ella es destaca un millor suport per a PHP 7.4 i compatibilitat implementada amb la branca PHP 8 (que actualment segueix en desenvolupament).

A més de que el conjunt de regles predeterminat s'ha actualitzat i a què s'han agregat noves regles per vulnerabilitats i tècniques recentment descobertes per atacar aplicacions web.

Com instal·lar Snuffleupagus a Linux?

Finalment per als que estiguin interessats en poder provar aquest mòdul en proves de Pentest de les seves aplicacions amb la finalitat de millorar la seguretat d'elles o amb la finalitat d'augmentar la seguretat de les seves aplicacions.

El que han de fer és dirigir-se a la pàgina web oficial de l'mòdul i en la seva secció de descàrregues podran trobar instruccions per a algunes de les diferents distribucions de Linux, l'enllaç és aquest.

Tot i que, també poden optar per una instal·lació des del codi font, Per això poden seguir les instruccions que es detallen en aquest enllaç.

Per últim i no menys important, si volen conèixer més a l'respecte, llegir la documentació o obtenir el codi font per a la seva revisió, podran fer-ho des d'aquest enllaç.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.