snuffleupagus

重要な機能•ダウンロード•例•ドキュメント•ライセンス•ありがとう

Snuffleupagusは、バグクラス全体を殺すことにより、Webサイトに対する攻撃のコストを大幅に引き上げるように設計されたPHP 7+および8+モジュールです。また、強力な仮想パッチングシステムを提供し、管理者がPHPコードに触れることなく特定の脆弱性を修正し、疑わしい行動を監査できるようにします。

• 顕著なパフォーマンスの影響はありません
• Virtual-Patchingルールを作成するのはパワフルでありながら簡単です
• いくつかのクラスの脆弱性を殺します
  • Unserializeベースのコード実行
  • mail - ベースのコード実行
  • クッキースティールXSS
  • ファイルアプロードベースのコード実行
  • 弱いprng
  • xxe
  • フィルターベースのリモートコード実行と各種シェナンガン
• いくつかの硬化機能
  • Cookie用の自動secureおよびsamesiteフラグ
  • コンプロミッション後の行動を検出するためのルールのバンドルセット
  • グローバルな厳格モードとタイプジャグリング予防
  • ストリームラッパーのホワイトリスト
  • 書き込み可能なファイルの実行を防ぎます
  • eval用のホワイトリスト/ブラックリスト
  • CURLを使用する場合のTLS証明書の検証を実施します
  • ダンピング機能を要求します
• 比較的正気なコードベース：
  • 100％近くの包括的なテストスイート
  • すべてのコミットは、いくつかの分布でテストされます
  • clang-format強力なコードスタイル
  • 包括的なドキュメント
  • カバリティの使用、codeql、スキャンビルド、…

配布用のパッケージを見つけることができるダウンロードページがありますが、もちろんこのレポンgit cloneか、GitHubでリリースを確認できます。

私たちはさまざまな例ルールを提供しています。

 # Harden the `chmod` function
sp . disable_function . function ( "chmod" ). param ( "mode" ). value_r ( "^[0-9]{2}[67]$" ). drop ();

# Mitigate command injection in `system`
sp . disable_function . function ( "system" ). param ( "command" ). value_r ( "[$|;&` \ n]" ). drop ();

規則に違反すると、ログにこのような行が表示されます。

[ snuffleupagus ][ 0.0 . 0.0 ][ disabled_function ][ drop ] The execution has been aborted in / var / www / index . php : 2 , because the return value ( 0 ) of the function 'strpos' matched a rule .

私たちはあなたが望むかもしれないすべてのドキュメントを含む包括的なウェブサイトを持っています。もちろん、自分で構築できます。

多くの感謝：

• インスピレーションの巨大な源であるためのスホシンプロジェクト
• 最初に開発を後援するNBSシステム
• 彼らの実験と貢献のためのsuhosin-ng、およびそれをスポンサーするためのnlnet
• すべての貢献者