Якщо ви веб-розробник, ця стаття може вас зацікавити, оскільки в ній ми трохи поговоримо про проект Табакерка, який надає модуль інтерпретатору PHP для підвищення безпеки навколишнього середовища і блокувати типові помилки, які призводять до уразливостей при виконанні програм PHP.
Цей модуль Він розроблений дуже цікаво, з різко збільшує роботу що треба зробити мати можливість досягти успіху в атаках на веб-сайти, шляхом видалення цілих класів помилок. Також забезпечує потужну систему віртуальних виправлень, що дозволяє адміністратору виправляти конкретні вразливості та перевіряти підозрілу поведінку, не торкаючись PHP-коду.
Про табакерку
Табакерка характеризується тим, що забезпечує систему правил що дозволяє використовувати обидва стандартні шаблони для підвищення захисту та створення власних правил для контролю вхідних даних та параметрів функцій.
Також, забезпечує вбудовані методи блокування класів вразливості такі як проблеми, пов’язані з серіалізацією даних, небезпечне використання функції PHP mail (), втрата вмісту файлів cookie під час XSS-атак, проблеми із завантаженням файлів із виконуваним кодом (наприклад, у форматі phar), заміна конструкцій Неправильний XML.
Модуль також дозволяє вам дозволяє створювати віртуальні патчі адміністратору веб-сайту щоб вирішити конкретні проблеми, не змінюючи вихідний код програми вразливий, що зручно для використання в системах масового хостингу, де неможливо постійно оновлювати всі користувацькі програми.
Загальні витрати ресурсів, отриманих в результаті роботи модуля, оцінюються як мінімальні. Модуль написаний мовою C., він підключений у вигляді спільної бібліотеки у файлі "php.ini".
Серед варіантів безпеки, які пропонує Snuffleupagus, виділяються:
- Автоматичне включення прапорів "безпечного" та "самогозиту" (захист від CSRF) для файлів cookie, шифрування файлів cookie.
- Вбудований набір правил для виявлення слідів атак та компрометуючих програм.
- Примусове глобальне включення строгого режиму "строгий", який, наприклад, блокує спробу вказати рядок під час очікування цілочисельного значення як аргументу та захисту від маніпуляцій з типом.
- Блокування за замовчуванням обгортки протоколів (наприклад, заборона "phar: //") з вашого явного дозволу на білий список.
- Заборона виконання файлів для запису.
- Чорно-білі списки для eval.
- Увімкнення обов'язкової перевірки сертифіката TLS під час використання curl.
- Додайте HMAC до серіалізованих об’єктів, щоб гарантувати, що десериалізація отримує дані, що зберігаються у вихідній програмі.
- Запит на режим реєстрації.
- Заблокуйте завантаження зовнішніх файлів у libxml за допомогою посилань у документах XML.
- Можливість підключення зовнішніх драйверів (upload_validation) для перевірки та сканування завантажених файлів.
- Застосувати перевірку сертифіката TLS під час використання curl
- Запит на завантаження
- Порівняно здорова база коду
- Повний пакет тестів із покриттям близько 100%
- Кожен коміт тестується на декількох дистрибутивах
додаткова інформація
На даний момент цей модуль знаходиться у версії 0.5.1 і в ньому виділяється a краща підтримка PHP 7.4 та впровадив сумісність з гілкою PHP 8 (яка зараз перебуває в стадії розробки).
Крім того набір правил за замовчуванням оновлено і до чого додано нові правила для нещодавно виявлених вразливостей та методів атаки веб-додатків.
Як встановити Snuffleupagus на Linux?
В кінці кінців для тих, хто зацікавлений у можливості спробувати цей модуль в пентест-тестах ваших програм, щоб поліпшити їх захист або щоб підвищити безпеку ваших програм.
Що вони повинні зробити, це зайти на офіційний веб-сайт модуля та у розділі завантаження Ви зможете знайти інструкції щодо різних дистрибутивів Linux, посилання це.
Хоча, вони також можуть встановити з вихідного коду, для цього вони можуть слідувати інструкціям, які є детально за цим посиланням.
І останнє, але не менш важливе: якщо ви хочете дізнатись більше про це, прочитати документацію або отримати вихідний код для ознайомлення, ви можете це зробити. з цієї посилання.