Jeśli jesteś programistą stron internetowych, ten artykuł może Cię zainteresować, ponieważ w nim porozmawiamy trochę o projekcie wąchaćktóry dostarcza moduł do interpretera PHP w celu zwiększenia bezpieczeństwa środowiska i blokuj typowe błędy, które prowadzą do luk w wykonywaniu aplikacji PHP.
Ten moduł Zaprojektowany w bardzo ciekawy sposób, od kiedy radykalnie zwiększa pracę co trzeba zrobić aby móc skutecznie atakować strony internetowe, usuwając całe klasy błędów. Również zapewnia potężny system wirtualnych poprawek, który pozwala administratorowi naprawić określone luki i kontrolować podejrzane zachowanie bez konieczności dotykania kodu PHP.
O Snuffleupagus
wąchać charakteryzuje się systemem reguł co pozwala na korzystanie z obu standardowych szablonów aby zwiększyć ochronę i stworzyć własne reguły kontroli danych wejściowych i parametrów funkcji.
Oprócz, zawiera wbudowane metody blokowania klas podatności takie jak problemy związane z serializacją danych, niezabezpieczone korzystanie z funkcji PHP mail (), utrata zawartości cookie podczas ataków XSS, problemy z pobieraniem plików z kodem wykonywalnym (np. w formacie phar), podstawianie konstrukcji Nieprawidłowy XML.
Moduł pozwala również umożliwia tworzenie wirtualnych łatek do administratora serwisu aby naprawić określone problemy bez zmiany kodu źródłowego aplikacji podatne, co jest wygodne w użyciu w systemach hostingu masowego, w których niemożliwe jest aktualizowanie wszystkich aplikacji użytkownika.
Ogólne wydatki zasobów pochodzących z eksploatacji modułu szacowane są jako minimalne. Moduł napisany w języku C., jest on połączony w formie współdzielonej biblioteki w pliku „php.ini”.
Spośród opcji bezpieczeństwa oferowanych przez Snuffleupagus wyróżniają się następujące:
- Automatyczne włączanie flag „safe” i „samesite” (ochrona przed CSRF) dla plików cookie, szyfrowanie plików cookie.
- Wbudowany zestaw reguł do identyfikowania śladów ataków i włamań do aplikacji.
- Wymuszone globalne włączenie ścisłego trybu „ścisłego”, który na przykład blokuje próbę określenia łańcucha podczas oczekiwania na wartość całkowitą jako argument i chroni przed manipulacją typem.
- Domyślne blokowanie opakowań protokołów (na przykład blokada „phar: //”) za Twoją wyraźną zgodą na białą listę.
- Zakaz wykonywania plików do zapisu.
- Czarno-białe listy dla eval.
- Włączanie obowiązkowej weryfikacji certyfikatu TLS podczas korzystania z curl.
- Dodaj HMAC do zserializowanych obiektów, aby upewnić się, że deserializacja pobiera dane przechowywane przez oryginalną aplikację.
- Zażądaj trybu rejestracji.
- Zablokuj ładowanie plików zewnętrznych w libxml za pomocą łączy w dokumentach XML.
- Możliwość podłączenia zewnętrznych sterowników (upload_validation) w celu weryfikacji i skanowania pobranych plików.
- Wymuś weryfikację certyfikatu TLS podczas korzystania z curl
- Poproś o pojemność pobierania
- Względnie zdrowa baza kodu
- Kompletny pakiet testowy z prawie 100% pokryciem
- Każde zatwierdzenie jest testowane na wielu dystrybucjach
Dodatkowe informacje
Obecnie ten moduł jest w wersji 0.5.1 i wyróżnia się w nim a lepsze wsparcie dla PHP 7.4 i zaimplementowano kompatybilność z gałęzią PHP 8 (która jest obecnie w fazie rozwoju).
poza tym domyślny zestaw reguł został zaktualizowany i do czego dodano nowe zasady nowo odkrytych luk w zabezpieczeniach i technik atakowania aplikacji internetowych.
Jak zainstalować Snuffleupagus w systemie Linux?
W końcu dla osób zainteresowanych możliwością wypróbowania tego modułu w pentestowych testach Twoich aplikacji w celu poprawy ich bezpieczeństwa lub w celu zwiększenia bezpieczeństwa Twoich aplikacji.
Powinni wejść na oficjalną stronę internetową modułu i w sekcji pobierania Będziesz mógł znaleźć instrukcje dla niektórych różnych dystrybucji Linuksa, link jest następujący.
Chociaż, mogą również zdecydować się na instalację z kodu źródłowego, w tym celu mogą postępować zgodnie z instrukcjami, które są szczegółowo w tym linku.
Wreszcie, jeśli chcesz dowiedzieć się więcej na ten temat, przeczytać dokumentację lub uzyskać kod źródłowy do przeglądu, możesz to zrobić. z tego linku.