אם אתה מפתח אתרים, אולי מאמר זה יעניין אותך מאחר ובו נדבר מעט על הפרויקט סנאפופגוס, אשר מספק מודול למתורגמן PHP להגברת האבטחה של הסביבה ולחסום את השגיאות האופייניות המובילות לפגיעות בביצוע יישומי PHP.
מודול זה זה מעוצב בצורה מאוד מעניינת, מאז מגדיל את העבודה בצורה דרמטית מה צריך לעשות להצליח בהתקפות נגד אתרים, על ידי הסרת מחלקות שלמות של שגיאות. גַם מספקת מערכת תיקונים וירטואלית חזקה, המאפשר למנהל לתקן נקודות תורפה ספציפיות ולבקר התנהגות חשודה מבלי לגעת בקוד ה- PHP.
על Snuffleupagus
סנאפופגוס מאופיין בכך שהוא מספק מערכת של כללים המאפשר להשתמש בשתי התבניות הסטנדרטיות כדי להגביר את ההגנה וליצור חוקים משלך לשליטה בנתוני קלט ופרמטרים של פונקציות.
גם מספק שיטות מובנות לחסימת שיעורי פגיעות כגון בעיות הקשורות לסידור נתונים, שימוש לא בטוח בפונקציית דואר ה- PHP (), אובדן של תוכן קובצי cookie במהלך התקפות XSS, בעיות עקב הורדת קבצים עם קוד הפעלה (למשל, בפורמט phar), החלפת קונסטרוקציות XML שגוי.
המודול גם מאפשר לך מאפשרת ליצור טלאים וירטואליים למנהל האתר כדי לפתור בעיות ספציפיות מבלי לשנות את קוד המקור ליישום פגיע, המתאים לשימוש במערכות אירוח המוניות בהן אי אפשר לעדכן את כל יישומי המשתמשים.
ההוצאות הכלליות של המשאבים הנגזרים מהפעלת המודול נאמדות כמינימום. המודול כתוב בשפה C, מחובר בצורה של ספרייה משותפת בקובץ "php.ini".
מבין אפשרויות האבטחה שמציע Snuffleupagus, בולטים הבאים:
- הכללה אוטומטית של דגלי "בטוח" ו- "samesite" (הגנה מפני CSRF) לעוגיות, הצפנת עוגיות.
- מערכת חוקים מובנית לזיהוי עקבות התקפות ויישומים מתפשרים.
- הכללה גלובלית מאולצת של מצב "קפדני" קפדני אשר למשל חוסם את הניסיון לציין מחרוזת בזמן ההמתנה לערך שלם כטיעון והגנה מפני מניפולציה בסוג.
- חסימת ברירת המחדל של עטיפות הפרוטוקול (למשל, האיסור "phar: //") עם הרשאתך המפורשת לרשימת ההיתרים.
- איסור ביצוע קבצים הניתנים לכתיבה.
- רשימות בשחור לבן לאירועים.
- הפעלת אימות חובה של תעודת TLS בעת שימוש בתלתל.
- הוסף HMAC לאובייקטים סדרתיים כדי להבטיח שניתוק עריכה מאחזר את הנתונים המאוחסנים על ידי היישום המקורי.
- בקש מצב רישום.
- חסום את טעינת הקבצים החיצוניים ב- libxml באמצעות קישורים במסמכי XML.
- יכולת לחבר מנהלי התקנים חיצוניים (upload_validation) לאימות וסריקת קבצים שהורדו.
- אכוף אימות אישור TLS בעת שימוש בתלתל
- בקש קיבולת הורדה
- בסיס קוד בריא יחסית
- חבילת בדיקה מלאה עם כיסוי קרוב ל 100%
- כל התחייבות נבחנת במספר הפצות
מידע נוסף
נכון לעכשיו מודול זה נמצא בגרסתו 0.5.1 ובתוכה בולט א תמיכה טובה יותר ב- PHP 7.4 והטמיע תאימות לסניף PHP 8 (שנמצא כעת בפיתוח).
חוץ מזה קבוצת הכללים המוגדרת כברירת מחדל עודכנה ולמה כללים חדשים נוספו עבור פגיעויות וטכניקות חדשות שהתגלו ליישומי אינטרנט.
כיצד להתקין את Snuffleupagus בלינוקס?
בסופו של דבר למעוניינים להיות מסוגלים לנסות את המודול הזה בבדיקות פנטסט של היישומים שלך על מנת לשפר את האבטחה שלהם או על מנת להגביר את האבטחה של היישומים שלך.
מה שהם צריכים לעשות זה להיכנס לאתר הרשמי של המודול ו- בקטע ההורדות שלך תוכל למצוא הוראות לחלק מהפצות הלינוקס השונות, הקישור הוא זה.
אם כי, הם יכולים גם לבחור להתקין מקוד המקור, לשם כך הם יכולים לבצע את ההוראות מפורט בקישור זה.
אחרון חביב, אם ברצונכם לדעת יותר על כך, לקרוא את התיעוד או להשיג את קוד המקור לבדיקה, תוכלו לעשות זאת. מקישור זה.