Ha Ön webfejlesztő, akkor ez a cikk érdekes lehet számodra, mivel ebben egy kicsit beszélünk a projektről snuffleupagus, melyik modult biztosít a PHP tolmácsnak a környezet biztonságának növelése érdekében és blokkolja azokat a tipikus hibákat, amelyek sebezhetőséghez vezetnek a PHP-alkalmazások futtatásában.
Ez a modul Nagyon érdekes módon lett megtervezve, óta drámai módon növeli a munkát mit kell tenni sikeres lehet a weboldalak elleni támadásokban, a hibák egész osztályainak eltávolításával. Is hatékony virtuális patch rendszert biztosít, amely lehetővé teszi az adminisztrátor számára a biztonsági rések kijavítását és a gyanús viselkedés ellenőrzését a PHP-kód megérintése nélkül.
A Snuffleupagusról
snuffleupagus szabályrendszer biztosításával jellemezhető amely lehetővé teszi mindkét szabványos sablon használatát a védelem növelése és saját szabályok létrehozása a bemeneti adatok és a funkcióparaméterek ellenőrzésére.
További, beépített módszereket biztosít a sebezhetőségi osztályok blokkolásához például az adatok sorosításához kapcsolódó problémák, a PHP mail () funkció nem biztonságos használata, a cookie-tartalom elvesztése az XSS-támadások során, a futtatható kóddal rendelkező fájlok letöltésével kapcsolatos problémák (például phar formátumban), a konstrukciók cseréje Helytelen XML.
A modul lehetővé teszi lehetővé teszi virtuális javítások létrehozását a honlap adminisztrátorának kijavítani a konkrét problémákat az alkalmazás forráskódjának megváltoztatása nélkül sérülékeny, amely alkalmas tömeges hosting rendszerekben történő felhasználásra, ahol lehetetlen az összes felhasználói alkalmazást naprakészen tartani.
A modul működéséből származó általános erőforrás költségeket a minimumra becsülik. A modul C nyelven íródott, megosztott könyvtár formájában csatlakozik a "php.ini" fájlba.
A Snuffleupagus által kínált biztonsági lehetőségek közül a következők emelkednek ki:
- A "biztonságos" és a "samesite" jelzők automatikus védelme (CSRF elleni védelem) a sütikhez, a cookie-k titkosításához.
- Beépített szabálykészlet a támadások és a kompromittáló alkalmazások nyomainak azonosításához.
- A szigorú "szigorú" mód kényszerített globális beiktatása, amely például blokkolja a karakterlánc megadásának kísérletét, miközben egész értéket vár argumentumként és védelmet a típus manipulációja ellen.
- A protokoll burkolók alapértelmezett blokkolása (például a "phar: //" tiltás), kifejezett engedélyével az engedélyezőlistára.
- Írható fájlok futtatásának tilalma.
- Fekete-fehér listák az eval számára.
- A TLS-tanúsítvány kötelező érvényesítésének engedélyezése curl használatakor.
- Adja hozzá a HMAC-t a sorosított objektumokhoz annak biztosítása érdekében, hogy a deserializáció lekérje az eredeti alkalmazás által tárolt adatokat.
- Regisztrációs mód kérése.
- Blokkolja a külső fájlok betöltését a libxml-be az XML-dokumentumok linkjeivel.
- Külső illesztőprogramok csatlakoztatása (upload_validation) a letöltött fájlok ellenőrzéséhez és beolvasásához.
- A TLS tanúsítvány érvényesítésének kikényszerítése curl használatakor
- Kérjen letöltési kapacitást
- Viszonylag egészséges kódbázis
- Teljes tesztcsomag, közel 100% -os lefedettséggel
- Minden elkötelezettséget több disztribúción tesztelnek
További információk
Jelenleg ez a modul a 0.5.1 verzióban van és abban kiemelkedik a jobb támogatás a PHP 7.4-hez és megvalósította a kompatibilitást a (jelenleg fejlesztés alatt álló) PHP 8 ággal.
Amellett, hogy az alapértelmezett szabálykészlet frissült és mire új szabályok kerültek be az újonnan felfedezett biztonsági résekért és a webalkalmazások támadásának technikáért
Hogyan telepítsem a Snuffleupagust a Linuxra?
Végül azok számára, akik szeretnék kipróbálni ezt a modult alkalmazásainak legfrissebb tesztelésében, az alkalmazások biztonságának javítása vagy az alkalmazások biztonságának növelése érdekében.
Amit meg kell tenniük, az a hivatalos honlap megnyitása a modul és a letöltési szakaszban Megtalálhatja az utasításokat a különböző Linux disztribúciókra, a link ez.
Bár, a forráskódból is telepíthetik, ehhez követhetik az utasításokat ezen a linken részletezzük.
Végül, de nem utolsósorban, ha többet szeretne megtudni róla, elolvassa a dokumentációt vagy megszerzi a forráskódot felülvizsgálatra, megteheti. ebből a linkből.