snuffleupagus

Ключевые функции • Скачать • Примеры • Документация • Лицензия • Спасибо

Snuffleupagus - это модуль PHP 7+ и 8+, предназначенный для кардинального повышения стоимости атак на сайты, убивая целые классы ошибок. Он также обеспечивает мощную систему виртуального расхода, позволяющая администратору исправлять конкретные уязвимости и проверять подозрительное поведение без необходимости прикоснуться к коду PHP.

• Нет заметного воздействия на производительность
• Мощный, но прост в написании виртуальных правил
• Убийство нескольких классов уязвимостей
  • Непрерывное выполнение кода
  • Послание -выполнение кода на основе mail
  • Осваивание печенья xss
  • Выполнение кода на основе файлов-upload
  • Слабый PRNG
  • XXE
  • Исполнение удаленного кода на основе фильтров и ассорти
• Несколько функций упрочнения
  • Автоматическое secure и samesite флаг для файлов cookie
  • Комплект правил для выявления поведения посткомпромиссии
  • Глобальный строгий режим и профилактика типов
  • Белый список потоковых оберток
  • Предотвращение выполнения записи файлов
  • Белый список/черный список для eval
  • Обеспечение проверки сертификата TLS при использовании curl
  • Запросить возможность сброса
• Относительно здравомыслящая база кода:
  • Комплексный набор тестов, близкий к 100% охвату
  • Каждый коммит проверяется на нескольких распределениях
  • Стиль кода с clang-format -Format
  • Комплексная документация
  • Использование Coverity, CodeQl, Scan-Build,…

У нас есть страница загрузки, где вы можете найти пакеты для вашего распространения, но вы, конечно, просто можете просто git clone это репо, или проверить релизы на GitHub.

Мы предоставляем различные примеры правил, которые выглядят так:

 # Harden the `chmod` function
sp . disable_function . function ( "chmod" ). param ( "mode" ). value_r ( "^[0-9]{2}[67]$" ). drop ();

# Mitigate command injection in `system`
sp . disable_function . function ( "system" ). param ( "command" ). value_r ( "[$|;&` \ n]" ). drop ();

При нарушении правила вы должны увидеть подобные строки в своих журналах:

[ snuffleupagus ][ 0.0 . 0.0 ][ disabled_function ][ drop ] The execution has been aborted in / var / www / index . php : 2 , because the return value ( 0 ) of the function 'strpos' matched a rule .

У нас есть комплексный веб -сайт со всей документацией, которую вы могли бы пожелать. Вы, конечно, можете построить это самостоятельно.

Большое спасибо:

• Проект Сухозина за то, что он является огромным источником вдохновения
• Система NBS для изначально спонсирования разработки
• Suhosin-ng для их экспериментов и вкладов, а также NLnet для спонсирования его
• Все наши участники