Suhosin的继任者正在从内部保护站点
PHP是Web应用程序最受欢迎的编程语言。beplay体育能用吗但是,PHP网站beplay体育能用吗也是黑客最大的目标,并考虑了许多安全事件。
Snuffleupagus,一个开源安全模块,旨在提高攻击PHP网站的成本。beplay体育能用吗
SnuffLeupagusbeplay体育能用吗由Web Hosting Company NBS系统开发,是PHP应用程序的额外防御层,拦截了在基础PHP代码中利用漏洞的恶意请求。
为什么要打snuffleupagus?
Sysadmins和网站管理beplay体育能用吗员拥有大量工具,可以保护Web应用程序免受攻击,包括Web应用程序防火墙(WAF)和入侵检测系统(IDS)。
但是,尽管这些工具本身就是有用的,但他们无法检查PHP应用程序的每个细节。Snuffleupagus直接在PHP应用程序的守则中工作,这使其可见性并控制了网站的安全性。beplay体育能用吗
Snuffleupagus的首席开发商Julien Voisin在书面评论中说:“我们希望有PHP的东西,以通用的方式杀死低悬挂的错误课程,因此我们不必再担心它们了。”每日swbeplay2018官网ig,强调WAF无法检测并修复所有漏洞。
Voisin说:“有时您想拥有更多的粒度,例如设置文件中的函数时使用特定的参数配置调用函数。”
“如果您在HTTP级别上运行,这是不可能的,因为您只看到Web请求,并且对应用程序对其进行了什么不知道。”beplay体育能用吗
虚拟修补
Snuffleupagus可以使Sysadmins和安全团队能够硬化网站,而无需打扰网络开发人员或妥协开发过程。beplay体育能用吗
好处之一是,Snuffleupagus可以在所有机器上推动虚拟补丁,而无需客户更新其网站或内容管理系统。beplay体育能用吗
因此,即使客户端正在运行PHP应用程序的过时且脆弱的版本,Snuffleupagus仍然能够保护其免受未解决的漏洞的影响。
Voisin说:“直接在PHP内部运行会产生很大的不同。”“例如,Magento没有提供有关漏洞的详细信息,因此以前我们必须获取补丁,了解更改,了解哪些漏洞已修复,找到所有触发它的向量,并相应地编写WAF规则。
“有了Snuffleupagus,我们查看了所做的更改,并在Snuffleupagus中大致复制它们。”
PHP排名
在Snuffleupagus之前,服务器管理员可以使用Suhosin,一种保护PHP服务器免受已知和未知漏洞的安全工具。但是Suhosin已过时,无法与PHP7一起使用。
(今年早些时候,Suhosin的开发商公开了Suhosin-NG项目这将基于Snuffleupagus,并旨在通过最新的PHP构建来提高项目的速度。这仍在开发中。)
Voisin详细介绍了Snuffleupagus如何保护PHP服务器免受广泛的漏洞博客文章。
由于Snuffleupagus专注于PHP代码,因此不会保护网站免受客户端漏洞的侵害beplay体育能用吗跨站点脚本(XSS)攻击。它也不会帮助应用程序代码中的逻辑错误。
Snuffleupagus也是PHP的独有,这意味着它不适合Perl,Python和其他服务器平台。但是,它仍然适用于数百万个网站。beplay体育能用吗
根据建筑,超过3900万个网站在PHP上运行,其中包括前10,000个网站的44%。beplay体育能用吗最受欢迎的CMS技术,例如WordPress,Joomla和Drupal,都是基于PHP的。
