Il existe un grand nombre de scanners de vulnérabilités web, mais très peu de moyens de trouver des failles de manière passive, sur un site en production. Snuffleupagus, module de sécurité pour PHP7 visant à augmenter le niveau de sécurité de sites web peut précisément être utilisé à cet usage.
1. PHP7, Suhosin, et Snuffleupagus
Nous sommes début 2018, et la fin du support de PHP5 arrive dans moins d'un an [1]. Il est donc grand temps de passer à son successeur, PHP7.
Sous PHP5, les administrateurs système soucieux de la sécurité utilisaient le module Suhosin [2], mais il n'est pas encore disponible sous PHP7, et son développement semble être à l'arrêt. C'est là que Snuffleupagus entre en scène ! Travaillant dans l'équipe sécurité d'un petit hébergeur web français (NBS System [3]), nous nous sommes donc mis en tête d'écrire un module de sécurité moderne, open source, répondant à nos besoins, et surtout avec un nom idiot.
Snuffleupagus propose tout un tas de contre-mesures pour les vulnérabilités web classiques, comme les exploitations d'unserialize, les injections de commandes de toutes sortes, les envois de fichiers malveillants…
Fig. 1 : Logo du projet.
2. Usage et règles
Dans son usage classique, en cas de...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première