snuffleupagus

Schlüsselfunktionen • Download • Beispiele • Dokumentation • Lizenz • Vielen Dank

SnuffleUpagus ist ein Modul von PHP 7+ und 8+, mit dem die Kosten für Angriffe gegen Websites drastisch erhöht werden, indem ganze Fehlerklassen getötet werden. Es bietet auch ein leistungsstarkes Virtual-Patching-System, mit dem Administrator bestimmte Schwachstellen beheben und verdächtige Verhaltensweisen prüfen können, ohne den PHP-Code zu berühren.

• Keine merklichen Leistungsauswirkungen
• Leistungsstark, aber einfach zu schreiben virtuelle Regeln zu schreiben
• Töten Sie mehrere Klassen von Schwachstellen
  • Unverzündetbasierte Codeausführung
  • mail -basierte Codeausführung
  • Cookie-Stealing XSS
  • Datei-vorgeladener Codeausführung
  • Schwache Prng
  • Xxe
  • Filterbasierte Remote -Code -Ausführung und verschiedene Shenanigans
• Mehrere Härtungsmerkmale
  • Automatische secure und samesite Flag für Cookies
  • Gebündelte Regeln zur Erkennung von Verhaltensweisen nach dem Kompromiss
  • Globaler strenger Modus und Prävention vom Typ Jonglier
  • Whitelisting von Stream -Wrappern
  • Verhinderung der Ausführung der Schreibdateien
  • Whitelist/Blacklist für eval
  • Durchsetzung von TLS -Zertifikat -Validierung bei Verwendung von CURL
  • Anfrage Dumping -Fähigkeiten
• Eine relativ vernünftige Codebasis:
  • Eine umfassende Testsuite von fast 100% Abdeckung
  • Jedes Commit wird an mehreren Verteilungen getestet
  • Ein clang-format -verstärkter Codestil
  • Eine umfassende Dokumentation
  • Verwendung von Deckung, Codesql, Scan-Build,…

Wir haben eine Download -Seite, auf der Sie Pakete für Ihre Verteilung finden, aber Sie können dieses Repo natürlich nur git clone oder die Veröffentlichungen auf GitHub überprüfen.

Wir liefern verschiedene Beispielregeln, die so aussehen:

 # Harden the `chmod` function
sp . disable_function . function ( "chmod" ). param ( "mode" ). value_r ( "^[0-9]{2}[67]$" ). drop ();

# Mitigate command injection in `system`
sp . disable_function . function ( "system" ). param ( "command" ). value_r ( "[$|;&` \ n]" ). drop ();

Nach Verstoß gegen eine Regel sollten Sie solche Zeilen in Ihren Protokollen sehen:

[ snuffleupagus ][ 0.0 . 0.0 ][ disabled_function ][ drop ] The execution has been aborted in / var / www / index . php : 2 , because the return value ( 0 ) of the function 'strpos' matched a rule .

Wir haben eine umfassende Website mit all den Dokumentationen, die Sie sich wünschen könnten. Sie können es natürlich selbst bauen.

Vielen Dank an:

• Das Suhosin -Projekt als große Inspirationsquelle
• NBS -System zum anfänglichen Sponsoring der Entwicklung
• Suhosin-ng für ihre Experimente und Beiträge sowie NLNET zum Sponsoring
• Alle unsere Mitwirkenden