snuffleupagus

Principais recursos • Download • Exemplos • Documentação • Licença • Obrigado

O SnuffleUpagus é um módulo Php 7+ e 8+ projetado para aumentar drasticamente o custo dos ataques contra sites, matando classes inteiras de bugs. Ele também fornece um poderoso sistema de destaque virtual, permitindo que o administrador corrija vulnerabilidades específicas e audite comportamentos suspeitos sem precisar tocar o código PHP.

• Sem impacto perceptível de desempenho
• Poderoso, mas simples de escrever regras de patching virtual
• Matar várias classes de vulnerabilidades
  • Execução de código baseada em não reiniciosas
  • EXECUÇÃO DE CÓDIGO DE mail
  • Roubo de biscoitos XSS
  • Execução de código baseada em arquivo-upload
  • Prng fraco
  • Xxe
  • Execução de código remoto baseado em filtro e travessuras variadas
• Vários recursos de endurecimento
  • Bandeira secure e samesite automática para cookies
  • Conjunto de regras em pacote para detectar comportamentos pós-concomissões
  • Modo rigoroso global e prevenção de malha do tipo
  • Lista de permissões de invólucros de córrego
  • Prevendo a execução de arquivos escritas
  • Lista de permissões/Blacklist para eval
  • Aplicando a validação do certificado TLS ao usar o CURL
  • Solicitar capacidade de despejo
• Uma base de código relativamente sã:
  • Uma suíte de teste abrangente perto de 100% de cobertura
  • Cada compromisso é testado em várias distribuições
  • Um estilo de código reforçado com clang-format
  • Uma documentação abrangente
  • Uso da cobertura, CodeQL, Scan-Build,…

Temos uma página de download, onde você pode encontrar pacotes para sua distribuição, mas é claro que você pode apenas git clone esse repositório ou verificar os lançamentos no GitHub.

Estamos fornecendo várias regras de exemplo, que estão assim:

 # Harden the `chmod` function
sp . disable_function . function ( "chmod" ). param ( "mode" ). value_r ( "^[0-9]{2}[67]$" ). drop ();

# Mitigate command injection in `system`
sp . disable_function . function ( "system" ). param ( "command" ). value_r ( "[$|;&` \ n]" ). drop ();

Após a violação de uma regra, você deve ver linhas como esta em seus logs:

[ snuffleupagus ][ 0.0 . 0.0 ][ disabled_function ][ drop ] The execution has been aborted in / var / www / index . php : 2 , because the return value ( 0 ) of the function 'strpos' matched a rule .

Temos um site abrangente com toda a documentação que você poderia desejar. É claro que você pode construí -lo sozinho.

Muito obrigado a:

• O Projeto Suhosin por ser uma enorme fonte de inspiração
• Sistema NBS para patrocinar inicialmente o desenvolvimento
• Suhosin-ng por suas experimentações e contribuições, bem como NLNET para patrociná-lo
• Todos os nossos colaboradores