Snuffleupagus, un eccellente modulo per bloccare le vulnerabilità nelle applicazioni PHP

Darkcrizt

4 minuti

Se sei uno sviluppatore web, forse questo articolo ti interesserà poiché in esso parleremo un po 'del progetto Snuffleupago, che fornisce un modulo all'interprete PHP per aumentare la sicurezza dell'ambiente e bloccare gli errori tipici che portano a vulnerabilità nell'esecuzione delle applicazioni PHP.

Questo modulo È progettato in un modo molto interessante, come aumenta notevolmente il lavoro cosa deve essere fatto per poter avere successo negli attacchi contro i siti web, rimuovendo intere classi di errori. Anche fornisce un potente sistema di patch virtuali, che consente all'amministratore di correggere vulnerabilità specifiche e controllare comportamenti sospetti senza dover toccare il codice PHP.

A proposito di Snuffleupagus

Snuffleupago è caratterizzato da fornisce un sistema di regole che consente di utilizzare entrambi i modelli standard per aumentare la protezione e creare le proprie regole per controllare i dati di input ei parametri delle funzioni.

Inoltre, fornisce metodi integrati per bloccare le classi di vulnerabilità come problemi relativi alla serializzazione dei dati, uso insicuro della funzione PHP mail (), perdita di contenuto dei cookie durante attacchi XSS, problemi dovuti al download di file con codice eseguibile (ad esempio, in formato phar), sostituzione di costrutti XML errato.

Il modulo ti consente anche di ti permette di creare patch virtuali all'amministratore del sito web per risolvere problemi specifici senza modificare il codice sorgente dell'applicazione vulnerabile, che è adatto per l'uso in sistemi di hosting di massa dove è impossibile mantenere aggiornate tutte le applicazioni degli utenti.

Le spese generali delle risorse derivate dal funzionamento del modulo sono stimate come minime. Il modulo è scritto in linguaggio C., è connesso sotto forma di libreria condivisa nel file "php.ini".

Tra le opzioni di sicurezza offerte da Snuffleupagus, spiccano le seguenti:

  • Inclusione automatica di flag "safe" e "samesite" (protezione contro CSRF) per i cookie, crittografia dei cookie.
  • Set di regole integrato per identificare tracce di attacchi e applicazioni compromettenti.
  • Forzata inclusione globale della modalità rigorosa "rigorosa" che ad esempio blocca il tentativo di specificare una stringa in attesa di un valore intero come argomento e protezione contro la manipolazione del tipo.
  • Il blocco predefinito dei wrapper di protocollo (ad esempio, il divieto "phar: //") con la tua autorizzazione esplicita per la whitelist.
  • Divieto di eseguire file scrivibili.
  • Liste in bianco e nero per eval.
  • Abilitazione della convalida obbligatoria del certificato TLS quando si utilizza curl.
  • Aggiungere HMAC agli oggetti serializzati per garantire che la deserializzazione recuperi i dati archiviati dall'applicazione originale.
  • Richiedi modalità di registrazione.
  • Blocca il caricamento di file esterni in libxml utilizzando i collegamenti nei documenti XML.
  • Possibilità di collegare driver esterni (upload_validation) per verificare e scansionare i file scaricati.
  • Applica la convalida del certificato TLS quando si utilizza curl
  • Richiedi capacità di download
  • Una base di codice relativamente sana
  • Un pacchetto di test completo con una copertura vicina al 100%
  • Ogni commit viene testato su più distribuzioni

Ulteriori informazioni

Attualmente questo modulo è nella sua versione 0.5.1 e in essa risalta a migliore supporto per PHP 7.4 e implementata la compatibilità con il ramo PHP 8 (attualmente in fase di sviluppo).

a parte quello il set di regole predefinito è stato aggiornato ea cosa sono state aggiunte nuove regole per le vulnerabilità e le tecniche scoperte di recente per attaccare le applicazioni web.

Come installare Snuffleupagus su Linux?

Infine per chi è interessato a poter provare questo modulo in pentest test delle vostre applicazioni al fine di migliorarne la sicurezza o per aumentare la sicurezza delle vostre applicazioni.

Quello che dovrebbero fare è visitare il sito ufficiale del modulo e nella sezione download Sarai in grado di trovare le istruzioni per alcune delle diverse distribuzioni Linux, il collegamento è questo.

Anche se, possono anche scegliere di installare dal codice sorgente, per questo possono seguire le istruzioni che sono dettagliato in questo link.

Ultimo ma non meno importante, se vuoi saperne di più, leggere la documentazione o ottenere il codice sorgente per la revisione, puoi farlo. da questo link.


Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile del trattamento: AB Internet Networks 2008 SL
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.