Snuffleupagus, un excellent module pour bloquer les vulnérabilités dans les applications PHP

Si vous êtes développeur web, cet article peut vous intéresser car nous y parlerons un peu du projet Snuffleupage, lequel fournit un module à l'interpréteur PHP pour augmenter la sécurité de l'environnement et bloquez les erreurs typiques qui conduisent à des vulnérabilités dans l'exécution des applications PHP.

Ce module Il est conçu de manière très intéressante, comme augmente considérablement le travail ce qui doit être fait afin de pouvoir réussir des attaques contre des sites Web, en supprimant des classes entières d'erreurs. Aussi fournit un puissant système de patch virtuel, qui permet à l'administrateur de corriger des vulnérabilités spécifiques et d'auditer les comportements suspects sans avoir à toucher au code PHP.

À propos de Snuffleupagus

Snuffleupage se caractérise par la fourniture d'un système de règles qui permet d'utiliser les deux modèles standards pour augmenter la protection et créer vos propres règles pour contrôler les données d'entrée et les paramètres de fonction.

En outre, fournit des méthodes intégrées pour bloquer les classes de vulnérabilité tels que les problèmes liés à la sérialisation des données, l'utilisation non sécurisée de la fonction PHP mail (), la perte du contenu des cookies lors d'attaques XSS, les problèmes dus au téléchargement de fichiers avec du code exécutable (par exemple, au format phar), la substitution de constructions XML incorrect

Le module vous permet également vous permet de créer des patchs virtuels à l'administrateur du site pour résoudre des problèmes spécifiques sans changer le code source de l'application vulnérable, qui convient à une utilisation dans des systèmes d'hébergement de masse où il est impossible de maintenir toutes les applications utilisateur à jour.

Les dépenses générales des ressources dérivées du fonctionnement du module sont estimées au minimum. Le module est écrit en langage C, est connecté sous la forme d'une bibliothèque partagée dans le fichier "php.ini".

Parmi les options de sécurité offertes par Snuffleupagus, les suivantes se démarquent:

  • Inclusion automatique des drapeaux «safe» et «samesite» (protection contre CSRF) pour les cookies, cryptage des cookies.
  • Ensemble de règles intégré pour identifier les traces d'attaques et les applications compromettantes.
  • Inclusion globale forcée du mode strict "strict" qui bloque par exemple la tentative de spécifier une chaîne en attendant une valeur entière comme argument et une protection contre la manipulation de type.
  • Le blocage par défaut des wrappers de protocole (par exemple, l'interdiction "phar: //") avec votre autorisation explicite pour la liste blanche.
  • Interdiction d'exécuter des fichiers inscriptibles.
  • Listes noires et blanches pour eval.
  • Activation de la validation obligatoire du certificat TLS lors de l'utilisation de curl.
  • Ajoutez HMAC aux objets sérialisés pour vous assurer que la désérialisation récupère les données stockées par l'application d'origine.
  • Demander le mode d'enregistrement.
  • Bloquez le chargement de fichiers externes dans libxml en utilisant des liens dans des documents XML.
  • Possibilité de connecter des pilotes externes (upload_validation) pour vérifier et analyser les fichiers téléchargés.
  • Appliquer la validation du certificat TLS lors de l'utilisation de curl
  • Demander une capacité de téléchargement
  • Une base de code relativement saine
  • Un package de test complet avec une couverture proche de 100%
  • Chaque commit est testé sur plusieurs distributions

Informations complémentaires

Actuellement ce module est dans sa version 0.5.1 et en elle se distingue un meilleur support pour PHP 7.4 et implémentation de la compatibilité avec la branche PHP 8 (qui est actuellement en cours de développement).

En plus que l'ensemble de règles par défaut a été mis à jour et à quoi de nouvelles règles ont été ajoutées pour les vulnérabilités nouvellement découvertes et les techniques d'attaque des applications Web.

Comment installer Snuffleupagus sur Linux?

Enfin pour ceux qui souhaitent essayer ce module dans des tests pentest de vos applications afin d'en améliorer la sécurité ou afin d'augmenter la sécurité de vos applications.

Ce qu'ils devraient faire est d'aller sur le site officiel du module et dans votre section de téléchargement Vous pourrez trouver des instructions pour certaines des différentes distributions Linux, le lien est le suivant.

Même si, ils peuvent également choisir d'installer à partir du code source, pour cela, ils peuvent suivre les instructions qui sont détaillé dans ce lien.

Enfin, si vous voulez en savoir plus à ce sujet, lire la documentation ou obtenir le code source pour examen, vous pouvez le faire. de ce lien.


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.