Če ste spletni razvijalec, vas bo ta članek morda zanimal, saj bomo v njem malo govorili o projektu snuffleupagus, ki ponuja modul za tolmač PHP za povečanje varnosti okolja in blokira tipične napake, ki vodijo do ranljivosti pri izvajanju PHP aplikacij.
Ta modul Zasnovan je na zelo zanimiv način, saj dramatično poveča delo kaj je treba storiti da bi lahko uspeli v napadih na spletna mesta, z odstranjevanjem celotnih razredov napak. Tudi ponuja zmogljiv sistem navideznih popravkov, ki omogoča skrbniku, da popravi posebne ranljivosti in pregleda sumljivo vedenje, ne da bi se moral dotakniti kode PHP.
O Snuffleupagusu
snuffleupagus je značilno, da zagotavlja sistem pravil ki omogoča uporabo obeh standardnih predlog za povečanje zaščite in ustvarjanje lastnih pravil za nadzor vhodnih podatkov in funkcijskih parametrov.
Poleg tega ponuja vgrajene metode za blokiranje razredov ranljivosti na primer težave, povezane s serializacijo podatkov, negotova uporaba funkcije PHP mail (), izguba vsebine piškotkov med napadi XSS, težave zaradi prenosa datotek z izvršljivo kodo (na primer v formatu phar), nadomeščanje konstruktov Nepravilen XML.
Modul vam tudi omogoča omogoča ustvarjanje navideznih popravkov skrbniku spletnega mesta za odpravljanje določenih težav brez spreminjanja izvorne kode programa ranljiv, kar je primerno za uporabo v sistemih za množično gostovanje, kjer je nemogoče posodabljati vse uporabniške aplikacije.
Splošni stroški virov, ki izhajajo iz delovanja modula, so ocenjeni kot najmanjši. Modul je napisan v jeziku C., je povezan v obliki knjižnice v skupni rabi v datoteki "php.ini".
Med varnostnimi možnostmi, ki jih ponuja Snuffleupagus, izstopajo naslednje:
- Samodejna vključitev zastav "safe" in "samesite" (zaščita pred CSRF) za piškotke, šifriranje piškotkov.
- Vgrajen nabor pravil za prepoznavanje sledi napadov in ogrožanja aplikacij.
- Prisilna globalna vključitev strogega "strogega" načina, ki na primer blokira poskus določitve niza, medtem ko čaka na celoštevilčno vrednost kot argument in zaščito pred manipulacijo tipa.
- Privzeto blokiranje ovojnic protokolov (na primer prepoved "phar: //") z vašim izrecnim dovoljenjem za seznam dovoljenih.
- Prepoved izvrševanja zapisljivih datotek.
- Črno-beli seznami za eval.
- Omogočanje obveznega preverjanja veljavnosti potrdila TLS pri uporabi curl.
- Dodajte HMAC serializiranim objektom, da zagotovite, da deserializacija pridobi podatke, shranjene v prvotni aplikaciji.
- Zahtevaj način registracije.
- Blokirajte nalaganje zunanjih datotek v libxml s povezavami v dokumentih XML.
- Sposobnost povezovanja zunanjih gonilnikov (upload_validation) za preverjanje in skeniranje prenesenih datotek.
- Izvedite preverjanje veljavnosti potrdila TLS, kadar uporabljate curl
- Zahtevajte prenosno zmogljivost
- Razmeroma zdrava osnova kode
- Popoln testni paket s skoraj 100-odstotno pokritostjo
- Vsak prevzem se preskusi v več distribucijah
dodatne informacije
Trenutno je ta modul v različici 0.5.1 in v njem izstopa a boljša podpora za PHP 7.4 in uvedel združljivost s podružnico PHP 8 (ki je trenutno v razvoju).
Poleg tega privzeti nabor pravil je posodobljen in na kaj dodana so nova pravila za novo odkrite ranljivosti in tehnike napada spletnih aplikacij.
Kako namestiti Snuffleupagus na Linux?
Končno za tiste, ki jih zanima preizkus tega modula v pentest testih vaših aplikacij, da bi izboljšali njihovo varnost ali povečali varnost vaših aplikacij.
Pojdite na uradno spletno stran modula in v razdelku za prenos Našli boste navodila za nekatere različne distribucije Linuxa, povezava je to.
Čeprav, lahko se tudi odločijo za namestitev iz izvorne kode, za to lahko sledijo navodilom, ki so podrobno na tej povezavi.
Nenazadnje, če želite o tem izvedeti več, prebrati dokumentacijo ali pridobiti izvorno kodo za pregled, lahko to storite. iz te povezave.