Hvis du er webudvikler, er denne artikel måske interessant for dig, da vi i den vil tale lidt om projektet snuffleupagus, hvilken leverer et modul til PHP-fortolkeren for at øge sikkerheden i miljøet og blokere typiske fejl, der fører til sårbarheder i udførelsen af PHP-applikationer.
Dette modul Det er designet på en meget interessant måde. eftersom øger arbejdet drastisk hvad der skal gøres for at kunne lykkes med angreb mod hjemmesider, ved at eliminere hele klasser af fejl. Også giver et kraftfuldt virtuelt patching-system, som giver administratoren mulighed for at rette specifikke sårbarheder og revidere mistænkelig adfærd uden at skulle røre ved PHP-koden.
Om Snuffleupagus
snuffleupagus Det er kendetegnet ved at give et system af regler som gør det muligt at bruge begge standardskabeloner at øge beskyttelsen og oprette dine egne regler for at kontrollere inputdata og funktionsparametre.
Derudover giver indbyggede metoder til at blokere klasser af sårbarheder såsom problemer relateret til dataserialisering, usikker brug af PHP mail()-funktionen, tab af cookieindhold under XSS-angreb, problemer som følge af download af filer med eksekverbar kode (for eksempel i phar-format), substitution af konstruktioner Forkert XML.
Modulet også giver dig mulighed for at oprette virtuelle patches til hjemmesidens administrator at løse specifikke problemer uden at ændre applikationens kildekode sårbar, hvilket er praktisk at bruge i massehostingsystemer, hvor det er umuligt at holde alle brugerapplikationer opdaterede.
Ressourceomkostninger ved at køre modulet estimeres til at være minimale. Modulet er skrevet i C-sprog, er forbundet i form af et delt bibliotek i filen "php.ini".
Af sikkerhedsmulighederne, som Snuffleupagus tilbyder, skiller følgende sig ud:
- Automatisk inkludering af "secure" og "samesite" (CSRF-beskyttelse) flag for cookies, cookie-kryptering.
- Indbygget sæt regler til at identificere angrebsspor og kompromitterende applikationer.
- Tvunget global inklusion af streng tilstand, som for eksempel blokerer forsøg på at specificere en streng, mens der forventes en heltalsværdi som argument og beskyttelse mod typemanipulation.
- Standardblokeringen af indpakninger for protokoller (for eksempel "phar://"-forbuddet) med deres eksplicitte tilladelse til at hvidliste.
- Forbud mod eksekvering af skrivbare filer.
- Sort og hvid lister til eval.
- Aktiverer obligatorisk TLS-certifikatvalidering ved brug af curl.
- Tilføj HMAC til serialiserede objekter for at sikre, at deserialisering henter de data, der er gemt af den originale applikation.
- Anmod om registreringstilstand.
- Bloker indlæsning af eksterne filer i libxml ved hjælp af links i XML-dokumenter.
- Mulighed for at tilslutte eksterne drivere (upload_validation) for at verificere og scanne downloadede filer.
- Gennemtving TLS-certifikatvalidering, når du bruger curl
- Anmod om downloadkapacitet
- En forholdsvis sund kodebase
- En komplet testpakke med tæt på 100% dækning
- Hver commit testes på flere distributioner
yderligere oplysninger
I øjeblikket er dette modul i sin version 0.5.1 og i den står en bedre understøttelse af PHP 7.4 og implementeret kompatibilitet med PHP 8-grenen (som i øjeblikket stadig er under udvikling).
udover det standardregelsættet er blevet opdateret og til hvad nye regler er tilføjet for nyligt opdagede sårbarheder og teknikker til at angribe webapplikationer.
Hvordan installeres Snuffleupagus på Linux?
Endelig For dem, der er interesseret i at kunne prøve dette modul i pentest test af deres applikationer for at forbedre deres sikkerhed eller for at øge sikkerheden i deres applikationer.
Hvad de skal gøre er at gå til den officielle hjemmeside af modulet og i din download sektion du kan finde instruktioner til nogle af de forskellige Linux-distributioner, linket er dette.
Selvom, de kan også vælge en installation fra kildekoden, for dette kan du følge instruktionerne, der er detaljeret i dette link.
Sidst men ikke mindst, hvis du vil vide mere om det, læse dokumentationen eller få kildekoden til din anmeldelse, kan du gøre det. fra dette link.