Ak ste webový vývojár, možno vás tento článok zaujme, pretože si v ňom povieme niečo málo o projekte snuffleupagus, ktoré poskytuje modul tlmočníkovi PHP na zvýšenie bezpečnosti prostredia a blokujú typické chyby, ktoré vedú k zraniteľnostiam pri vykonávaní aplikácií PHP.
Tento modul Je navrhnutý veľmi zaujímavo, ako dramaticky zvyšuje prácu čo treba urobiť byť schopný uspieť v útokoch na webové stránky, odstránením celých tried chýb. Tiež poskytuje výkonný systém virtuálnych opráv, ktorá umožňuje správcovi opraviť konkrétne chyby zabezpečenia a skontrolovať podozrivé správanie bez toho, aby sa musel dotknúť kódu PHP.
O Snuffleupagus
snuffleupagus sa vyznačuje poskytnutím systému pravidiel ktorý umožňuje používať obe štandardné šablóny zvýšiť ochranu a vytvoriť si vlastné pravidlá kontroly vstupných údajov a funkčných parametrov.
Okrem toho, poskytuje vstavané metódy blokovania tried zraniteľnosti ako napríklad problémy spojené s serializáciou údajov, neisté použitie funkcie PHP mail (), strata obsahu súborov cookie počas útokov XSS, problémy so sťahovaním súborov so spustiteľným kódom (napríklad vo formáte phar), zámena konštruktov Nesprávne XML.
Modul vám tiež umožňuje umožňuje vytvárať virtuálne opravy správcovi webových stránok opraviť konkrétne problémy bez zmeny zdrojového kódu aplikácie zraniteľné, čo je vhodné na použitie v hromadných hostiteľských systémoch, kde nie je možné udržiavať všetky používateľské aplikácie aktuálne.
Všeobecné náklady na zdroje pochádzajúce z prevádzky modulu sa odhadujú ako minimálne. Modul je napísaný v jazyku C., je pripojený vo forme zdieľanej knižnice v súbore „php.ini“.
Z možností zabezpečenia, ktoré ponúka Snuffleupagus, vynikajú tieto:
- Automatické zahrnutie príznakov „bezpečného“ a „rovnakého webu“ (ochrana proti CSRF) pre súbory cookie, šifrovanie súborov cookie.
- Vstavaná sada pravidiel na identifikáciu stôp útokov a kompromitujúcich aplikácií.
- Nútené globálne zahrnutie prísneho režimu „strict“, ktorý napríklad blokuje pokus o zadanie reťazca pri čakaní na celočíselnú hodnotu ako argument a ochranu pred manipuláciou typu.
- Predvolené blokovanie obalov protokolu (napríklad zákaz „phar: //“) s vaším výslovným povolením pre bielu listinu.
- Zákaz vykonávania zapisovateľných súborov.
- Čierne a biele zoznamy pre eval.
- Povolenie povinnej validácie certifikátu TLS pri použití zvlnenia.
- Pridajte HMAC do serializovaných objektov, aby ste zabezpečili, že deserializácia načíta údaje uložené v pôvodnej aplikácii.
- Vyžiadajte si režim registrácie.
- Blokujte načítanie externých súborov v knižnici libxml pomocou odkazov v dokumentoch XML.
- Schopnosť pripojiť externé ovládače (upload_validation) na overenie a skenovanie stiahnutých súborov.
- Pri použití zvlnenia vynútiť overenie certifikátu TLS
- Vyžiadajte si kapacitu sťahovania
- Relatívne zdravá kódová základňa
- Kompletné testovacie balenie s takmer 100% pokrytím
- Každé potvrdenie je testované na viacerých distribúciách
doplňujúce informácie
Momentálne je tento modul vo svojej verzii 0.5.1 a v ňom vyniká a lepšia podpora pre PHP 7.4 a implementovaná kompatibilita s pobočkou PHP 8 (ktorá je momentálne vo vývoji).
okrem toho predvolená sada pravidiel bola aktualizovaná a k čomu boli pridané nové pravidlá pre novoobjavené chyby a techniky útoku na webové aplikácie.
Ako nainštalovať Snuffleupagus na Linux?
Konečne pre tých, ktorí majú záujem vyskúšať si tento modul v posledných testoch vašich aplikácií s cieľom zvýšiť ich bezpečnosť alebo zvýšiť bezpečnosť vašich aplikácií.
Mali by ísť na oficiálnu webovú stránku modulu a v sekcii na stiahnutie budete môcť nájsť pokyny pre niektoré z rôznych distribúcií Linuxu, odkaz je tento.
Predsa, môžu sa tiež rozhodnúť nainštalovať zo zdrojového kódu, za týmto účelom môžu postupovať podľa pokynov podrobne v tomto odkaze.
V neposlednom rade, ak sa chcete dozvedieť viac, prečítať si dokumentáciu alebo získať zdrojový kód na kontrolu, môžete tak urobiť. z tohto odkazu.