Snuffleupagus, um excelente módulo para bloquear vulnerabilidades em aplicativos PHP

Darkcrizt

Minutos 4

Se você é desenvolvedor web, este artigo pode ser do seu interesse já que nele falaremos um pouco sobre o projeto Snuffleupago, Qual fornece um módulo para o interpretador de PHP para aumentar a segurança do ambiente e bloquear os erros típicos que levam a vulnerabilidades na execução de aplicativos PHP.

Este módulo É projetado de uma forma muito interessante, como aumenta dramaticamente o trabalho o que tem que ser feito para ter sucesso em ataques contra sites, removendo classes inteiras de erros. Também fornece um sistema de patch virtual poderoso, que permite ao administrador corrigir vulnerabilidades específicas e auditar comportamentos suspeitos sem ter que tocar no código PHP.

Sobre Snuffleupagus

Snuffleupago é caracterizado por fornecer um sistema de regras que permite usar ambos os modelos padrão para aumentar a proteção e criar suas próprias regras para controlar dados de entrada e parâmetros de função.

Além disso, fornece métodos integrados para bloquear classes de vulnerabilidade tais como problemas relacionados à serialização de dados, uso inseguro da função PHP mail (), perda de conteúdo de cookies durante ataques XSS, problemas devido ao download de arquivos com código executável (por exemplo, em formato phar), Substituição de construções XML incorreto.

O módulo também permite que você permite que você crie patches virtuais para o administrador do site para corrigir problemas específicos sem alterar o código-fonte do aplicativo vulnerável, o que é conveniente para uso em sistemas de hospedagem em massa, onde é impossível manter todos os aplicativos do usuário atualizados.

As despesas gerais de recursos derivados do funcionamento do módulo são estimadas como mínimas. O módulo é escrito em linguagem C, está conectado na forma de uma biblioteca compartilhada no arquivo "php.ini".

Das opções de segurança oferecidas pela Snuffleupagus, destacam-se as seguintes:

  • Inclusão automática de sinalizadores "seguro" e "samesite" (proteção contra CSRF) para cookies, criptografia de cookies.
  • Conjunto integrado de regras para identificar rastros de ataques e aplicativos comprometedores.
  • Inclusão global forçada do modo "estrito" estrito que, por exemplo, bloqueia a tentativa de especificar uma string enquanto espera por um valor inteiro como argumento e proteção contra a manipulação de tipo.
  • O bloqueio padrão de wrappers de protocolo (por exemplo, o ban "phar: //") com sua permissão explícita para a lista de permissões.
  • Proibição de execução de arquivos graváveis.
  • Listas pretas e brancas para avaliação.
  • Habilitando a validação obrigatória do certificado TLS ao usar curl.
  • Adicione o HMAC a objetos serializados para garantir que a desserialização recupere os dados armazenados pelo aplicativo original.
  • Solicite o modo de registro.
  • Bloqueie o carregamento de arquivos externos em libxml usando links em documentos XML.
  • Capacidade de conectar drivers externos (upload_validation) para verificar e verificar os arquivos baixados.
  • Aplicar a validação do certificado TLS ao usar curl
  • Solicitar capacidade de download
  • Uma base de código relativamente saudável
  • Um pacote de teste completo com quase 100% de cobertura
  • Cada confirmação é testada em várias distribuições

Informação adicional

Atualmente este módulo está em sua versão 0.5.1 e nele se destaca um melhor suporte para PHP 7.4 e compatibilidade implementada com o branch do PHP 8 (que está atualmente em desenvolvimento).

Além disso o conjunto de regras padrão foi atualizado e para que novas regras foram adicionadas para vulnerabilidades recém-descobertas e técnicas para atacar aplicativos da web.

Como instalar o Snuffleupagus no Linux?

Finalmente para aqueles interessados ​​em experimentar este módulo em testes de pentest de seus aplicativos para melhorar sua segurança ou para aumentar a segurança de seus aplicativos.

O que eles devem fazer é acessar o site oficial do módulo e na sua seção de download Você poderá encontrar instruções para algumas das diferentes distribuições Linux, o link é este.

Apesar, eles também podem optar por instalar a partir do código-fonte, para isso eles podem seguir as instruções detalhado neste link.

Por último, mas não menos importante, se você quiser saber mais sobre isso, leia a documentação ou obtenha o código-fonte para revisão, você pode fazê-lo. a partir deste link.


Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: AB Internet Networks 2008 SL
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.