Snuffleupagus, një modul i shkëlqyeshëm për të bllokuar dobësitë në aplikacionet PHP

Darkcrizt

Minuta 4

Nëse jeni një zhvillues uebi, ky artikull mund të jetë me interes për ju pasi në të do të flasim pak për projektin snuffleupagus, e cila ofron një modul për përkthyesin PHP për të rritur sigurinë e mjedisit dhe bllokoni gabimet tipike që çojnë në dobësi në ekzekutimin e aplikacioneve PHP.

Ky modul Isshtë projektuar në një mënyrë shumë interesante, ya que rrit në mënyrë dramatike punën çfarë duhet bërë të jetë në gjendje të ketë sukses në sulmet kundër faqeve të internetit, duke hequr klasa të tëra gabimesh. Gjithashtu siguron një sistem të fuqishëm patch virtual, i cili lejon administratorin të rregullojë dobësitë specifike dhe të kontrollojë sjelljen e dyshimtë pa pasur nevojë të prekë kodin PHP.

Rreth Snuffleupagus

snuffleupagus karakterizohet nga sigurimi i një sistemi rregullash e cila lejon përdorimin e të dy shablloneve standarde për të rritur mbrojtjen dhe për të krijuar rregullat tuaja për të kontrolluar të dhënat e dhëna dhe parametrat e funksionit.

Përveç kësaj, siguron metoda të integruara për të bllokuar klasat e cenueshmërisë siç janë problemet që lidhen me serializimin e të dhënave, përdorimi i pasigurt i funksionit të postës PHP (), humbja e përmbajtjes së cookie-t gjatë sulmeve XSS, probleme për shkak të shkarkimit të skedarëve me kod të ekzekutueshëm (për shembull, në formatin phar), Zëvendësimi i konstrukteve XML e pasaktë.

Moduli ju lejon gjithashtu ju lejon të krijoni arna virtuale tek administratori i faqes në internet për të rregulluar probleme specifike pa ndryshuar kodin burimor të aplikacionit e prekshme, e cila është e përshtatshme për përdorim në sistemet e pritjes masive, kur është e pamundur të mbash të azhurnuara të gjitha aplikacionet e përdoruesve.

Shpenzimet e përgjithshme të burimeve që rrjedhin nga funksionimi i modulit vlerësohen si minimale. Moduli është shkruar në gjuhën C, është i lidhur në formën e një biblioteke të përbashkët në skedarin "php.ini".

Nga opsionet e sigurisë të ofruara nga Snuffleupagus, veçohen këto:

  • Përfshirja automatike e flamujve "të sigurt" dhe "samesite" (mbrojtje ndaj CSRF) për cookies, kriptim i cookie-t.
  • Buletini i integruar i rregullave për të identifikuar gjurmët e sulmeve dhe aplikacionet kompromentuese.
  • Përfshirja globale e detyruar e mënyrës së rreptë "të rreptë" e cila për shembull bllokon përpjekjen për të specifikuar një varg ndërsa pret një vlerë të plotë si një argument dhe mbrojtje ndaj manipulimit të tipit.
  • Bllokimi i paracaktuar i mbështjellësve të protokollit (për shembull, ndalimi "phar: //") me lejen tuaj të qartë për listën e bardhë.
  • Ndalimi i ekzekutimit të dosjeve të shkruara.
  • Lista e zezë dhe e bardhë për eval.
  • Mundësimi i vlefshmërisë së detyrueshme të certifikatës TLS kur përdorni curl.
  • Shtoni HMAC në objektet e serializuara për të siguruar që deserializimi të marrë të dhënat e ruajtura nga aplikacioni origjinal.
  • Kërkoni mënyrën e regjistrimit.
  • Bllokoni skedarët e jashtëm nga ngarkimi në libxml duke përdorur lidhje në dokumentet XML.
  • Aftësia për të lidhur drejtuesit e jashtëm (upload_validation) për të verifikuar dhe skanuar skedarët e shkarkuar.
  • Zbatoni vërtetimin e certifikatës TLS kur përdorni curl
  • Kërkoni kapacitetin e shkarkimit
  • Një bazë relativisht e shëndetshme e kodit
  • Një paketë provë e plotë me mbulim afër 100%
  • Çdo angazhim testohet në shpërndarje të shumëfishta

informacion shtesë

Aktualisht ky modul është në versionin e tij 0.5.1 dhe në të shquhet a mbështetje më e mirë për PHP 7.4 dhe pajtueshmërinë e zbatuar me degën PHP 8 (e cila aktualisht është në zhvillim e sipër).

Përveç kësaj grupi i rregullit të paracaktuar është azhurnuar dhe për çfarë janë shtuar rregulla të reja për dobësitë dhe teknikat e zbuluara rishtas për të sulmuar aplikacionet në internet.

Si të instaloni Snuffleupagus në Linux?

Më në fund për ata që janë të interesuar të mund të provojnë këtë modul në testet pentest të aplikacioneve tuaja në mënyrë që të përmirësoni sigurinë e tyre ose në mënyrë që të rrisni sigurinë e aplikacioneve tuaja.

Ajo që ata duhet të bëjnë është të shkojnë në faqen zyrtare të internetit të modulit dhe në seksionin tuaj të shkarkimit do të jeni në gjendje të gjeni udhëzime për disa nga shpërndarjet e ndryshme të Linux, lidhja është kjo.

Megjithëse, ata gjithashtu mund të zgjedhin të instalojnë nga kodi burimor, për këtë ata mund të ndjekin udhëzimet që janë detajuar ne kete link.

E fundit, por jo më pak e rëndësishmja, nëse doni të dini më shumë rreth tij, lexoni dokumentacionin ose merrni kodin burimor për rishikim, mund ta bëni këtë. nga kjo lidhje.


Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: AB Internet Networks 2008 SL
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.