The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Проект Snuffleupagus развивает PHP-модуль для блокирования у..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +/
Сообщение от opennews (??), 04-Июл-19, 13:39 
В рамках проекта Snuffleupagus (https://snuffleupagus.readthedocs.io/) развивается (https://dustri.org/b/snuffleupagus-versus-recent-high-profil...) модуль для подключения к интерпретатору PHP7, предназначенный для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать виртуальные патчи для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Модуль написан на языке Си, подключается в форме разделяемой библиотеки ("extension=snuffleupagus.so" в php.ini) и распространяется (https://github.com/nbs-system/snuffleupagus) под лицензией LGPL 3.0.

Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля входных данных и параметров функций. Например, правило "sp.disable_function.function("system").param("command").value_r("[$|;&`\\n]").drop();" позволяет не изменяя приложения ограничить использование спецсимволов в аргументах функции system(). Аналогично можно создавать виртуальные патчи (https://snuffleupagus.readthedocs.io/config.html#virtual-pat...) для блокирования известных уязвимостей.


Судя по проведённым разработчиками тестам Snuffleupagus почти не снижает производительность. Для обеспечения собственной безопасности (возможные уязвимости в прослойке для защиты могут служить дополнительным вектором для атак) в проекте применяется доскональное тестирование каждого коммита в разных дистрибутивах, используются системы статического анализа, код оформляется и документируется для упрощения проведения аудита.


Предоставляются встроенные методы для блокирования таких классов уязвимоcтей, как проблемы, связанные (https://www.owasp.org/images/9/9e/Utilizing-Code-Reuse-Or-Re...) с сериализацией данных,  небезопасным (https://www.opennet.me/opennews/art.shtml?num=45774) использованием PHP-функции mail(), утечкой содержимого Cookie при проведении XSS атак, проблемами из-за загрузки файлов  с исполняемым кодом (например, в формате phar (https://www.opennet.me/opennews/art.shtml?num=49641)), некачественной генерацией случайных чисел и подстановкой (https://en.wikipedia.org/wiki/XML_external_entity_attack) некорректных конструкций XML.

Из режимов для повышения защиты PHP поддерживаются:


-  Автоматическое включение флагов "secure" и "samesite" (защита от CSRF) для Cookie, шифрование (https://snuffleupagus.readthedocs.io/cookies.html#cookie-enc...) Cookie;
-  Встроенный набор правил для выявления следов совершения атак и компрометации приложений;
-  Принудительное глобальное включение режима "strict (https://secure.php.net/manual/en/migration70.new-features.ph...)" (например, блокирует попытку указания строки при ожидании в качестве аргумента целочисленного значения) и защита от манипуляций с типами (https://www.php.net/manual/ru/language.types.type-juggling.php);
-  Блокирование по умолчанию обёрток для протоколов (https://www.php.net/manual/ru/wrappers.php) (например, запрет "phar://")с их явным разрешением по белому списку;
-  Запрет на исполнение файлов, которые доступны на запись;
-  Чёрные и белые списки для eval;
-  Включение обязательно проверки сертификатов TLS при использовании
curl;
-  Добавление HMAC к сериализованным объектам для гарантирования, что при десериализации получены данные, сохранённые  исходным приложением;
-  Режим журналирования запросов;
-  Блокирование загрузки внешних файлов в libxml по ссылкам в XML-документах;
-  Возможность подключения внешних обработчиков (upload_validation) для проверки и сканирования загружаемых файлов;


  


Проект создан и используется для защиты пользователей в инфраструктуре одного из крупных французских операторов хостинга. Отмечается (https://dustri.org/b/snuffleupagus-versus-recent-high-profil...), что просто подключение  Snuffleupagus позволило бы защититься от многих опасных уязвимостей, выявленных в этом году в Drupal, Wordpress и phpBB. Уязвимости в Magento  и Horde могли бы быть блокированы включением режима
"sp.readonly_exec.enable()".


URL: https://dustri.org/b/snuffleupagus-versus-recent-high-profil...
Новость: https://www.opennet.me/opennews/art.shtml?num=51031

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  –2 +/
Сообщение от Аноним (1), 04-Июл-19, 13:39 
Годнота, дайте два!
Ответить | Правка | Наверх | Cообщить модератору

4. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +3 +/
Сообщение от Cradle (?), 04-Июл-19, 13:57 
Hardened-PHP
https://gsec.hitb.org/sg2018/speakers/stefan-esser
https://www.darknet.org.uk/2007/01/php-security-specialist-s...

Ответить | Правка | Наверх | Cообщить модератору

2. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +3 +/
Сообщение от пох. (?), 04-Июл-19, 13:41 
итого на одно разумное действие (блокировка ненужно-phar, которую  можно получить и другими методами) -мильен вредных, работать будут только васян-поделки, а весь остальной мир - как обычно, "неправильный".

Ответить | Правка | Наверх | Cообщить модератору

3. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  –1 +/
Сообщение от Аноним (3), 04-Июл-19, 13:54 
Антивирус?
Ответить | Правка | Наверх | Cообщить модератору

10. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +1 +/
Сообщение от Аноним (10), 04-Июл-19, 15:05 
Тут не вирус, тут попытка кодом заткнуть баги прокладки между сиденьем и клавиатурой.
Ответить | Правка | Наверх | Cообщить модератору

14. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +1 +/
Сообщение от Аноним (14), 04-Июл-19, 18:19 
> попытка кодом заткнуть баги прокладки между сиденьем и клавиатурой.

Ну да, типичный антивирус.

Ответить | Правка | Наверх | Cообщить модератору

5. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +3 +/
Сообщение от Sw00p aka Jerom (?), 04-Июл-19, 13:58 
и так же забросят как забросили suhosin
Ответить | Правка | Наверх | Cообщить модератору

6. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +7 +/
Сообщение от пох. (?), 04-Июл-19, 14:21 
у suhosin сломался автор - потому что он как раз пытался сделать так, чтобы его аддон НЕ ломал обычные сайты, написанные нашими обычными разработчиками - с руками из жопы и с головой там же.

При этом он до посинения ругался с точно такими же - разработчиками самого php, пытаясь убедить их хотя бы от совсем идиотских шагов отказаться или отключить опасный функционал по умолчанию. И в конечном итоге заявил что горбатого исправит только могила, но он очень рекомендует забить для профилактики еще и осиновый кол.

А эта поделка сделана для васян-сайта, "одного из крупных французских операторов хостинга" (читай, OVH ;-)

где при поломке ей функционала - можно отп-ть разработчика, а не добавлять очередной костылик. Поэтому, пока сайт не переделают на чем-то другом нескучном - будет жить, но нам с вами пользы от этого зверя совершенно никакой.

Ответить | Правка | Наверх | Cообщить модератору

7. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +/
Сообщение от пох. (?), 04-Июл-19, 14:25 
> А эта поделка сделана для васян-сайта, "одного из крупных французских операторов хостинга"
> (читай, OVH ;-)

а, хотя нет - похоже, они ее как раз дорогим юзерам навязывают.

Ну чо,  тогда судьба довольно предсказуема - юзеру нахрен не нужно чтоб у него сайт сломался потому что "принудительно включили режим strict".

Ответить | Правка | Наверх | Cообщить модератору

17. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +/
Сообщение от IRASoldier_registered (ok), 04-Июл-19, 21:37 
>у suhosin

Внезапно - проект таки ещё не помер.

>А эта поделка

- её предлагается попробовать для php >= 7.3 на страничке https://github.com/sektioneins/suhosin7

Как-то так.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

22. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +/
Сообщение от Sw00p aka Jerom (?), 05-Июл-19, 01:34 
>её предлагается попробовать для php >= 7.3

пихать на прод альфу? в свое время поэтому от него и отказался, пока он под 5.3 работал, 5.6 уже стабильный был. Так и сейчас.

>Внезапно - проект таки ещё не помер.

помер

Ответить | Правка | Наверх | Cообщить модератору

25. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +/
Сообщение от пох. (?), 05-Июл-19, 07:23 
> пихать на прод альфу?

ты б по ссылке пошел - наоборот. там написано "у меня тут еще не совсем уже но пока скоро готово для продакшн", и ссылка на этих лягушкозавров - типа, идите туда, а тут ловить нечего.

В 5.3 он как раз и окуклился - и было это в 2010м.

Ответить | Правка | Наверх | Cообщить модератору

30. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +/
Сообщение от IRASoldier_registered (ok), 05-Июл-19, 09:44 
Зачем на прод? Так, посмотреть.
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

35. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +/
Сообщение от Sw00p aka Jerom (?), 05-Июл-19, 13:01 
Я у вас много свободного времени?
Ответить | Правка | Наверх | Cообщить модератору

40. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +/
Сообщение от IRASoldier_registered (ok), 05-Июл-19, 16:07 
Иногда.
Ответить | Правка | Наверх | Cообщить модератору

24. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +/
Сообщение от пох. (?), 05-Июл-19, 07:21 
> Внезапно - проект таки ещё не помер.

таки уже.
("уже" - лет десять тому настало, если не больше)
Ну пошевелился покойничек, зачитал обращение к согражданам, а дальше - "воротился в свой чудной гроб и там испустил дух, да такой сильный, что иные попадали замертво".

> предлагается попробовать для php >= 7.3

что говорит о том, что автор окончательно сдался и времени на войну с ветряными мельницами ему жалко - даже, как видишь, предлагает валить на конкурирующий проект с несовместимыми настройками, а не ставить свою "пре-альфу". Идеи у него, вишь, есть, а пороху программировать - нет.

imho, выкрасить и выбросить - обоих. Для своих девелоперов (если еще остались где, а не давно пишут на жабке-ээ и прочих джанках) проблема решается воскресной поркой...зачеркнуто, coding style checks при коммите и code review, а чужим ты этой штукой просто все попереломаешь, причем в непредсказуемых местах.

С банальщиной типа проверок стремных символов и тд справляется mod_security (причем лучше - апачевский - с nginx'овым примерно то же самое что вот с suhosin)

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

29. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +1 +/
Сообщение от Sw00p aka Jerom (?), 05-Июл-19, 09:44 
>>С банальщиной типа проверок стремных символов и тд справляется mod_security (причем лучше - апачевский - с nginx'овым примерно то же самое что вот с suhosin)

О Боже, ещё один труп реинкарнировали? С nginx сей адъ течет, плюс реализация через одно место, не говорю уже про рулы, которые байпасят школьники

Ответить | Правка | Наверх | Cообщить модератору

33. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +1 +/
Сообщение от пох. (?), 05-Июл-19, 10:27 
в том и дело, что апачевская версия 2 - вполне была живая и работающая (а если ты хостишь чужой хлам на пехепе - попытки делать это без апача только приведут к лишним неприятностям).

неработающая третья, и это не труп, а выкидыш - он никогда живым и не был. Ну не умеют его разработчики без apr, не умеют. Заказ (или может даже грант) получили, кое-как отработали, довели проект до полуработающей беты на радость манагерам nginx.com, и бросили.

А за правила надо - платить ;-) если, конечно, не хочется самому их изобретать. Бешплатные такие же школьники и пишут, у них времени много.

Ответить | Правка | Наверх | Cообщить модератору

36. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +/
Сообщение от Sw00p aka Jerom (?), 05-Июл-19, 13:04 
>в том и дело, что апачевская версия 2 - вполне была живая и работающая

согласен

>А за правила надо - платить ;-) если, конечно, не хочется самому их изобретать.

лучше школьникам заплатить за аудит кода, чем придумывать заплатки.

Ответить | Правка | Наверх | Cообщить модератору

37. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +/
Сообщение от пох. (?), 05-Июл-19, 13:19 
да они тебе и бесплатно наудитят, в поисках чо бы поломать - а толку-то? Сам что-ли полезешь исправлять все эти магенты и вротпрессы пяти разных версий, размазанные по серверам?

А так - дверь бревнышком подпер, и надеешься, что не поломают. В конце-концов, от совсем глупых школьников и типовых червей оно вполне помогало. А там либо горе-разработчик проснется, либо сервис объявят устаревшим и можно будет его наконец-то выпилить.

Ответить | Правка | Наверх | Cообщить модератору

32. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +/
Сообщение от IRASoldier_registered (ok), 05-Июл-19, 09:52 
> Для своих девелоперов (если еще остались где, а не давно пишут на жабке-ээ и прочих джанках) проблема
> решается воскресной поркой...зачеркнуто, coding style checks при коммите и code review

Здесь, в общем, согласен. И еженедельным чтением PHP: The Right Way с отправкой избранных цитат на телефон ежедневно для утренних и вечерних медитаций. (Хотя жаба-то что, в упор не понимаю её хейтеров.)


Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

34. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +/
Сообщение от пох. (?), 05-Июл-19, 10:30 
поадминистрил бы пару лет помойку, сделанную на resin - понял бы ;-)

(кто не в курсе - это такой php, но жаба. ;-)

Ответить | Правка | Наверх | Cообщить модератору

39. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +/
Сообщение от IRASoldier_registered (ok), 05-Июл-19, 16:07 
Нафига кто-то вздумал Resin ставить? Чем кошерный Tomcat не угодил? А этот ихний Quercus - адописное зло.
Ответить | Правка | Наверх | Cообщить модератору

41. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  –1 +/
Сообщение от пох. (?), 05-Июл-19, 20:01 
✔ simple configuration you can copy & paste docs you can understand
- чо непонятного-то?

Оно, кстати, само по себе даже и не висло особо, в отличие от tomcat. Но и уровень кодеров - ну прямо как пехепе, только это еще и жаба, ничего по месту не поправить. Стопиццот jspшников методом ctrl-c/ctrl-v - simple же ж. "ой, память опять кончилась".

> А этот ихний Quercus - адописное зло.

по-моему они просто глумились - "пехепе на жабе мы уже в общем-то написали - давайте, прикола ради, еще и настоящий php интерпретировать, хрен ли там дел-то"

хорошо еще хоть им быстро надоело, и дальше показательного запуска друпала дело не пошло, а то php7 мог и не родиться.
Они вообще любили приколы:
http://wiki4.caucho.com/NginX_1.2.0_versus_Resin_4.0.29_perf...
- tomcat так сможет? (а, ну да - он просто повиснет и тест никогда не удатся провести до конца ;-)

Ответить | Правка | Наверх | Cообщить модератору

42. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +/
Сообщение от IRASoldier_registered (ok), 05-Июл-19, 22:29 
>you can copy & paste docs you can understand

Бл***

Ответить | Правка | Наверх | Cообщить модератору

27. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +/
Сообщение от Аноним (27), 05-Июл-19, 08:38 
>> читай, OVH

https://www.nbs-system.com/. Хотя вряд-ли это что-то меняет :-)

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

28. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  –1 +/
Сообщение от пох. (?), 05-Июл-19, 09:38 
поменяет - отношение к OVH - они может и любят друг-друга по-хранцузски, но хоть пользователей не пытаются.

А эти вот похоже - совсем в плахом смисле.

Ответить | Правка | Наверх | Cообщить модератору

8. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +1 +/
Сообщение от Аноним (8), 04-Июл-19, 14:34 
Теперь создавать IИDEX.рнр можно будет еще безопаснее
Ответить | Правка | Наверх | Cообщить модератору

9. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  –1 +/
Сообщение от Аноним (10), 04-Июл-19, 15:03 
Скажем дружно: нах@р нужно. Это не решение проблемы, а полумера - попытка угодить криворучкам и компенсировать потери от таковых.
Ответить | Правка | Наверх | Cообщить модератору

12. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  –3 +/
Сообщение от пох. (?), 04-Июл-19, 17:45 
да какое там "угодить", он же ж все поломает к хренам.
причем половина этих улучшизмов - какое-то феерическое ненужно, типа включения обязательной проверки сертификатов в curl (которое в седьмой версии и так включено, и приходится выключать)

Ответить | Правка | Наверх | Cообщить модератору

11. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +/
Сообщение от Аноним (11), 04-Июл-19, 16:16 
новая разновидность манкипатчинга, лол.
Ответить | Правка | Наверх | Cообщить модератору

15. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  –1 +/
Сообщение от YetAnotherOnanym (ok), 04-Июл-19, 19:30 
Вот это по пэхапэшному! Пыхеры не зря гордятся тем, что умеют писать свой код быстро, теперь мы видим, что даже анализ и патчинг их кода приходится выполнять на лету - иначе никак не угнаться.
Ответить | Правка | Наверх | Cообщить модератору

16. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  –1 +/
Сообщение от Аноним (16), 04-Июл-19, 21:14 
> Пыхеры не зря гордятся тем, что умеют писать свой код быстро

Чо, правда?

Ответить | Правка | Наверх | Cообщить модератору

18. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  –1 +/
Сообщение от mikhailnov (ok), 04-Июл-19, 22:27 
Нужно, спастбо разработчикам. Внедрить эту штуку гораздо проще, чем писать все самому вместо применения готовых плагинов для WordPress, при том что качество самописного кода все равно будет не лучше. Надо попробовать. Но возможность уязвимости в блокировщике уязвимостей - напрягает.
Ответить | Правка | Наверх | Cообщить модератору

19. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +3 +/
Сообщение от Аноним (19), 04-Июл-19, 22:48 
> уязвимости в блокировщике уязвимостей

Причиной пожара стало возгорание противопожарной системы ))

Ответить | Правка | Наверх | Cообщить модератору

23. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +/
Сообщение от Sw00p aka Jerom (?), 05-Июл-19, 01:35 
так все это порочный круг, щит и меч.
Ответить | Правка | Наверх | Cообщить модератору

20. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  –1 +/
Сообщение от Аноним (20), 05-Июл-19, 00:08 
Пыхокод чтобы защитить пыхокод от дыр. В чём же подвох?.. 🤔
Ответить | Правка | Наверх | Cообщить модератору

21. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +/
Сообщение от Аноним (21), 05-Июл-19, 01:23 
В том, что это не пыхокод. Там .so.
Ответить | Правка | Наверх | Cообщить модератору

26. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +/
Сообщение от andyemail (??), 05-Июл-19, 07:41 
виртуальный патчиг это хорошо. очень хорошо помагает, когда в проектах много легаси кода, и никто не желает в него лезть и разбиратся
Ответить | Правка | Наверх | Cообщить модератору

31. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +1 +/
Сообщение от Аноним (31), 05-Июл-19, 09:49 
> виртуальный патчиг это хорошо. очень хорошо помагает, когда в проектах много легаси кода, и никто не желает в него лезть и разбиратся

А придется, при чем в авральном режиме, когда после «виртуального патчига» внезапно отвалится то, что в принципе отваливаться не должно.

Ответить | Правка | Наверх | Cообщить модератору

43. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +/
Сообщение от Аноним (43), 08-Июл-19, 01:08 
смотря на чем организовывать такой вот виртуальный патчинг. например, если на вафе, то всегда можно вендора пнуть, а не у волосы из жопы дергать..
Ответить | Правка | Наверх | Cообщить модератору

38. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."  +1 +/
Сообщение от жека воробьев (?), 05-Июл-19, 13:34 
т.е. можно не беспокоиться о безопасности и дальше писать говнокод на пхп
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру