Om du är en webbutvecklare kanske den här artikeln är av intresse för dig eftersom vi i den kommer att prata lite om projektet snuffleupagusvilken tillhandahåller en modul till PHP-tolken för att öka säkerheten i miljön och blockera typiska fel som leder till sårbarheter i körningen av PHP-applikationer.
Denna modul Den är designad på ett mycket intressant sätt. som ökar arbetet drastiskt vad som måste göras för att kunna lyckas med attacker mot webbplatser, genom att eliminera hela klasser av fel. Också ger ett kraftfullt virtuellt patchsystem, vilket gör att administratören kan åtgärda specifika sårbarheter och granska misstänkt beteende utan att behöva röra PHP-koden.
Om Snuffleupagus
snuffleupagus Det kännetecknas av att tillhandahålla ett system av regler vilket gör det möjligt att använda båda standardmallarna för att öka skyddet och skapa egna regler för att styra indata och funktionsparametrar.
Dessutom, tillhandahåller inbyggda metoder för att blockera klasser av sårbarheter såsom problem relaterade till dataserialisering, osäker användning av PHP mail()-funktionen, förlust av cookie-innehåll under XSS-attacker, problem på grund av nedladdning av filer med körbar kod (till exempel i phar-format), ersättning av konstruktioner Felaktig XML.
Modulen också låter dig skapa virtuella patchar till webbplatsens administratör för att fixa specifika problem utan att ändra programmets källkod sårbar, vilket är bekvämt att använda i masshostingsystem där det är omöjligt att hålla alla användarapplikationer uppdaterade.
Resurskostnader från att köra modulen uppskattas vara minimala. Modulen är skriven på C-språk, är ansluten i form av ett delat bibliotek i filen "php.ini".
Av säkerhetsalternativen som erbjuds av Snuffleupagus sticker följande ut:
- Automatisk inkludering av "secure" och "samesite" (CSRF-skydd) flaggor för cookies, cookie-kryptering.
- Inbyggd uppsättning regler för att identifiera attackspår och komprometterande applikationer.
- Tvingad global inkludering av strikt läge, till exempel, blockerar som försöker specificera en sträng samtidigt som man förväntar sig ett heltalsvärde som ett argument och skydd mot typmanipulation.
- Standardblockeringen av omslag för protokoll (till exempel "phar://"-förbudet) med deras uttryckliga tillåtelse att vitlista.
- Förbud mot exekvering av skrivbara filer.
- Svarta och vita listor för eval.
- Aktiverar obligatorisk TLS-certifikatvalidering när du använder curl.
- Lägg till HMAC till serialiserade objekt för att säkerställa att deserialisering hämtar data som lagras av den ursprungliga applikationen.
- Begär registreringsläge.
- Blockera laddning av externa filer i libxml med länkar i XML-dokument.
- Möjlighet att ansluta externa drivrutiner (upload_validation) för att verifiera och skanna nedladdade filer.
- Framtvinga TLS-certifikatvalidering när du använder curl
- Begär nedladdningskapacitet
- En relativt sund kodbas
- Ett komplett testpaket med nära 100% täckning
- Varje commit testas på flera distributioner
Ytterligare information
För närvarande finns denna modul i sin version 0.5.1 och i den sticker ut en bättre stöd för PHP 7.4 och implementerade kompatibilitet med PHP 8-grenen (som för närvarande fortfarande är under utveckling).
Förutom det standardregeluppsättningen har uppdaterats och till vad nya regler har lagts till för nyligen upptäckta sårbarheter och tekniker för att attackera webbapplikationer.
Hur installerar jag Snuffleupagus på Linux?
Slutligen För dig som är intresserad av att kunna prova denna modul i de senaste testerna av sina applikationer för att förbättra deras säkerhet eller för att öka säkerheten för deras applikationer.
Vad de borde göra är att gå till den officiella hemsidan av modulen och i ditt nedladdningsavsnitt du kan hitta instruktioner för några av de olika Linux-distributionerna, länken är den här.
Fastän, de kan också välja en installation från källkoden, för detta kan du följa instruktionerna som finns detaljerat i denna länk.
Sist men inte minst, om du vill veta mer om det, läsa dokumentationen eller få källkoden för granskning kan du göra det. från den här länken.