Hvis du er en webutvikler, vil denne artikkelen kanskje være av interesse for deg, siden vi snakker litt om prosjektet snuffleupagus, som gir en modul til PHP-tolken for å øke sikkerheten i miljøet og blokker de typiske feilene som fører til sårbarheter i kjøringen av PHP-applikasjoner.
Denne modulen Den er designet på en veldig interessant måte, som øker arbeidet dramatisk hva må gjøres å kunne lykkes i angrep mot nettsteder, ved å fjerne hele klasser av feil. Også gir et kraftig virtuelt patch-system, som lar administratoren fikse spesifikke sårbarheter og revidere mistenkelig atferd uten å måtte berøre PHP-koden.
Om Snuffleupagus
snuffleupagus er preget av å tilby et system med regler som gjør det mulig å bruke begge standardmalene for å øke beskyttelsen og lage dine egne regler for å kontrollere inngangsdata og funksjonsparametere.
I tillegg, gir innebygde metoder for å blokkere sårbarhetsklasser for eksempel problemer relatert til dataserialisering, usikker bruk av PHP mail () -funksjonen, tap av informasjonskapsel under XSS-angrep, problemer på grunn av nedlasting av filer med kjørbar kode (for eksempel i phar-format), Erstatning av konstruksjoner Feil XML.
Modulen lar deg også lar deg lage virtuelle oppdateringer til nettstedsadministratoren for å fikse spesifikke problemer uten å endre programkildekoden sårbar, som er egnet for bruk i massehostingsystemer der det er umulig å holde alle brukerapplikasjoner oppdatert.
De generelle ressursutgiftene fra driften av modulen er estimert som minimum. Modulen er skrevet på C-språk, er koblet i form av et delt bibliotek i filen "php.ini".
Av sikkerhetsalternativene som Snuffleupagus tilbyr, skiller følgende seg ut:
- Automatisk inkludering av "sikre" og "samesite" flagg (beskyttelse mot CSRF) for informasjonskapsler, kryptering av informasjonskapsler.
- Innebygd regelsett for å identifisere spor etter angrep og kompromitterende applikasjoner.
- Tvunget global inkludering av den strenge "strenge" modusen, som for eksempel blokkerer forsøket på å spesifisere en streng mens du venter på et heltall som et argument og beskyttelse mot typemanipulering.
- Standard blokkering av protokollpakker (for eksempel "phar: //" -forbudet) med din eksplisitte tillatelse til hvitelisten.
- Forbud mot å utføre skrivbare filer.
- Svarte og hvite lister for eval.
- Aktiverer obligatorisk validering av TLS-sertifikatet når du bruker curl.
- Legg til HMAC i serieobjekter for å sikre at deserialisering henter data lagret av det opprinnelige programmet.
- Be om registreringsmodus.
- Blokker ekstern filinnlasting i libxml ved hjelp av lenker i XML-dokumenter.
- Evne til å koble til eksterne drivere (upload_validation) for å bekrefte og skanne nedlastede filer.
- Håndhever validering av TLS-sertifikat når du bruker krølling
- Be om nedlastningskapasitet
- En relativt sunn kodebase
- En komplett testpakke med nærmere 100% dekning
- Hver forpliktelse testes på flere distribusjoner
mer informasjon
Foreløpig er denne modulen i sin versjon 0.5.1 og i det skiller seg ut a bedre støtte for PHP 7.4 og implementerte kompatibilitet med PHP 8-grenen (som for tiden er under utvikling).
bortsett fra det standardregelsettet er oppdatert og til hva nye regler er lagt til for nylig oppdagede sårbarheter og teknikker for å angripe webapplikasjoner.
Hvordan installere Snuffleupagus på Linux?
Endelig for de som er interessert i å kunne prøve denne modulen i pentest-tester av applikasjonene dine for å forbedre sikkerheten til dem eller for å øke sikkerheten til applikasjonene dine.
Det de burde gjøre er å gå til det offisielle nettstedet av modulen og i nedlastingsdelen vil du kunne finne instruksjoner for noen av de forskjellige Linux-distribusjonene, lenken er dette.
Selv om, de kan også velge å installere fra kildekoden, for dette kan de følge instruksjonene som er detaljert i denne lenken.
Sist men ikke minst, hvis du vil vite mer om det, lese dokumentasjonen eller få kildekoden for gjennomgang, kan du gjøre det. fra denne lenken.