snuffleupagus

Características clave • Descargar • Ejemplos • Documentación • Licencia • Gracias

SnuffleUpagus es un módulo PHP 7+ y 8+ diseñado para aumentar drásticamente el costo de los ataques contra los sitios web, al matar clases completas de errores. También proporciona un poderoso sistema de emparejamiento virtual, lo que permite al administrador arreglar vulnerabilidades específicas y auditar comportamientos sospechosos sin tener que tocar el código PHP.

• Sin impacto de rendimiento notable
• Potentes pero simples de escribir reglas de parches virtuales
• Matar varias clases de vulnerabilidades
  • Ejecución de código basada en unserializar
  • Ejecución de código basado en mail
  • XSS de robo de galletas
  • Ejecución de código basado en el archivo
  • PRNG débil
  • Xxe
  • Ejecución de código remoto basado en filtros y travesuras variadas
• Varias características de endurecimiento
  • Bandera automática secure y samesite para cookies
  • Conjunto de reglas agrupados para detectar comportamientos posteriores a las compromisos
  • Modo estricto global y prevención de Jugging Type
  • TITURA WHITISTA DE LA CONTRADORES
  • Prevención de la ejecución de archivos escritables
  • Whitelist/Blacklist para eval
  • Hacer cumplir la validación del certificado TLS cuando se usa Curl
  • Solicitar capacidad de vertido
• Una base de código relativamente sana:
  • Una suite de prueba completa cercana a la cobertura del 100%
  • Cada confirmación se prueba en varias distribuciones
  • Un estilo de código con clang-format
  • Una documentación integral
  • Uso de Coverity, CodeQL, Scan-Build, ...

Tenemos una página de descarga, donde puede encontrar paquetes para su distribución, pero, por supuesto, puede simplemente git clone este repositorio o verificar las versiones en GitHub.

Estamos proporcionando varias reglas de ejemplo, que se ven así:

 # Harden the `chmod` function
sp . disable_function . function ( "chmod" ). param ( "mode" ). value_r ( "^[0-9]{2}[67]$" ). drop ();

# Mitigate command injection in `system`
sp . disable_function . function ( "system" ). param ( "command" ). value_r ( "[$|;&` \ n]" ). drop ();

Al violar una regla, debe ver líneas como esta en sus registros:

[ snuffleupagus ][ 0.0 . 0.0 ][ disabled_function ][ drop ] The execution has been aborted in / var / www / index . php : 2 , because the return value ( 0 ) of the function 'strpos' matched a rule .

Tenemos un sitio web completo con toda la documentación que posiblemente podría desear. Por supuesto, puedes construirlo tú mismo.

Muchas gracias a:

• El proyecto Suhosin por ser una gran fuente de inspiración
• Sistema NBS para patrocinar inicialmente el desarrollo
• Suhosin-ng por sus experimentos y contribuciones, así como NLNet para patrocinarlo
• Todos nuestros contribuyentes