snuffleupagus

Caractéristiques clés • Télécharger • Exemples • Documentation • Licence • Merci

SnuffleUpagus est un module PHP 7+ et 8+ conçu pour augmenter considérablement le coût des attaques contre les sites Web, en tuant des classes de bogues entières. Il fournit également un puissant système de paiement virtuel, permettant à l'administrateur de corriger des vulnérabilités spécifiques et d'auditer des comportements suspects sans avoir à toucher le code PHP.

• Aucun impact de performance notable
• Règles de mise en œuvre virtuelle puissantes mais simples à écrire
• Tuer plusieurs classes de vulnérabilités
  • Exécution de code basée sur un non-série
  • Exécution du code basé sur mail
  • XSS de vol de biscuits
  • Exécution de code basée sur la téléchargement de fichiers
  • PRNG faible
  • Xxe
  • Exécution du code distant basé sur un filtre et manigances assorties
• Plusieurs fonctionnalités de durcissement
  • Indicateur automatique secure et samesite pour les cookies
  • Ensemble de règles groupé pour détecter les comportements post-compromissions
  • Mode strict global et prévention de la juggotage de type
  • Liste blanche des emballages de cours d'eau
  • Empêcher l'exécution des fichiers inscriptibles
  • Liste blanche / liste noire pour eval
  • Appliquer la validation du certificat TLS lors de l'utilisation de Curl
  • Demander la capacité de dumping
• Une base de code relativement saine:
  • Une suite de test complète proche de 100% de couverture
  • Chaque commit est testé sur plusieurs distributions
  • Un style de code entravé clang-format
  • Une documentation complète
  • Utilisation de la couverture, CodeQL, Scan-Build,…

Nous avons une page de téléchargement, où vous pouvez trouver des packages pour votre distribution, mais vous pouvez bien sûr simplement git clone ce repo, ou vérifier les sorties sur github.

Nous fournissons diverses exemples de règles, qui ressemblent à ceci:

 # Harden the `chmod` function
sp . disable_function . function ( "chmod" ). param ( "mode" ). value_r ( "^[0-9]{2}[67]$" ). drop ();

# Mitigate command injection in `system`
sp . disable_function . function ( "system" ). param ( "command" ). value_r ( "[$|;&` \ n]" ). drop ();

Lors de la violation d'une règle, vous devriez voir des lignes comme celle-ci dans vos journaux:

[ snuffleupagus ][ 0.0 . 0.0 ][ disabled_function ][ drop ] The execution has been aborted in / var / www / index . php : 2 , because the return value ( 0 ) of the function 'strpos' matched a rule .

Nous avons un site Web complet avec toute la documentation que vous pourriez souhaiter. Vous pouvez bien sûr le construire vous-même.

Un grand merci à:

• Le projet Suhosin pour être une énorme source d'inspiration
• Système NBS pour parrainer initialement le développement
• Suhosin-ng pour leurs expérimentations et contributions, ainsi que NLNET pour l'avoir parrainé
• Tous nos contributeurs