10 legjobb PHP-kód-biztonsági szkenner a sérülékenységek felkutatására

Keresse meg a biztonsági kockázatot és a kódminőséget a PHP alkalmazásban.


A PHP szabályozza az internetet, körülbelül A piaci részesedés 80% -a. Mindenhol megtalálható – WordPress, Joomla, Lavarel, Drupal stb.

A PHP magja biztonságos, de még sok más van a tetején, amelyeket esetleg használ, és amelyek sebezhetők lehetnek. Egy webhely vagy összetett webes alkalmazás fejlesztése után a fejlesztők és a webhelyek tulajdonosainak többsége a funkcionalitásra, a tervezésre, a SEO-ra összpontosít, és elfelejti az alapvető elemet – Biztonság.

Legjobb gyakorlatként fontolóra kell vennie egy biztonsági ellenőrzés elvégzését az alkalmazásával szemben, mielőtt élőbe lépne. Ez vonatkozik minden webhelyre – kicsi vagy nagy. Van néhány eszköz, amely segít ebben.

PMF

PHP Malware Finder (PMF) egy saját üzemeltetett megoldás, amely segít a lehetséges rosszindulatú kódok megtalálásában a fájlokban. Ismert, hogy kimutatja a kóborokat, kódolókat, obfuzátorokat, webes héjkódot.

A PMF felhasználja a YARA-t, tehát ehhez előfeltételként van szüksége a teszt futtatásához.

RIPS

RIPS az egyik legnépszerűbb statikus PHP-elemző eszköz, amelyet a fejlesztési életcikluson keresztül kell integrálni a biztonsági kérdések valós időben történő felkutatására. A megállapításokat kategorizálhatja az iparági megfelelés és a szabványok szerint a javítások prioritása érdekében.

  • OWASP Top 10
  • SANS Top 25
  • PCI-DSS
  • HIPPA

Vessen egy pillantást a következő funkciók néhányira.

  • Pontos kockázat súlyosság alapján és a kritikus, magas, közepes és alacsony súlyok meghatározásának lehetősége.
  • Együttműködik a vizsgálatban és rangsorolja a kérdést
  • Ismerje meg a sebezhetőség hatását
  • Értékelje a régi és az új kód közötti biztonsági kockázatot
  • Készítsen teendők listáját, és rendeljen hozzá feladatokat a jegykezelő rendszer segítségével

A RIPS lehetővé teszi a szkennelési eredményjelentések exportálását több formátumba – PDF, CSV és más formátumokba a RESTful API használatával.

Kapható önálló üzemeltetett és SaaS modellként. Tehát válassza ki, mi működik az Ön számára.

SonarPHP

SonarPHP által SonarSource mintázat-illesztési, adatfolyam-technikákat használ a PHP-kódok sebezhetőségének felkutatására. Ez egy statikus kód analizátor, és integrálódik az Eclipse-hez, az IntelliJ-hez.

A SonarSource több mint 140 szabály alapján ellenőrzi a kódot, és támogatja a Java-ban írt egyéni szabályokat is.

Exakat

Valós idejű statikus kód elemző motor a megfelelés, a kockázat ellenőrzése és a bevált gyakorlatok megerősítése érdekében. Exakat több, mint 450 elemző szentelt a PHP-nek. Vannak keretspecifikus elemzők, mint például a WordPress, CakePHP, Zend stb.

Ha rendelkezik a PHP alkalmazáskóddal a GitHubban, akkor használhatja a nyilvános elemzőt is. Másik lehetőségként letöltheti vagy használja a felhőalapú online.

Az Exakat segítségével az örök biztonságot integrálhatja alkalmazásába és a következőkbe.

  • Kód áttekintés automatizált, több mint 100 szabálydal
  • A megfelelőség kész
  • Automatizálja a kóddokumentációt
  • A PHP 7 áttelepítése megkönnyítette

A robusztus jelentéssel prioritást élvezhet a kármentesítésben.

PHPStan

PHPStan fantasztikus eszköz a hibák felkutatására a kód írásakor. Nem kell futtatnia semmit.

Kipróbálhatja az online verziót itt.

A PHPStan használatához 7.1 vagy újabb verzióra és zeneszerzőre van szükség. Ugyanakkor képes régebbi verzióiból származó hibákat felfedezni.

Zsoltár

A PHP elemző tetejére épült, Zsoltár jó hibákat találni, és segít a jobb és biztonságosabb alkalmazás következetességének fenntartásában.

Progpilot

Progpilot A statikus elemző lehetővé teszi az elemzés típusának megadását, például GET, POST, COOKIE, SHELL_EXEC stb. Jelenleg támogatja a suiteCRM és a CodeIgniter keretrendszert..

PHP biztonsági rés vadász

Egy fuzzer statikus és dinamikus elemzéssel a sérülékenységek felkutatására. Ez vadász képes vadászni a következőkre.

  • Webhelyek közötti szkriptek
  • SQL injekció
  • Tetszőleges fájlolvasás és parancsfuttatás
  • Helyi fájl beillesztés
  • A teljes elérési út ismertetése

A szkennelés három fázisban történik – inicializálás, szkennelés és inicializálás megszüntetése

Markológép

Markológép, egy python alapú eszköz hibrid elemzés elvégzéséhez PHP-alapú alkalmazáson a PHP-SAT használatával. A Grabber a következő oldalon is elérhető Kali Linux.

symfony

Biztonsági megfigyelés symfony Bármely PHP projekttel együtt dolgozik a zeneszerző segítségével. Ez egy ismert biztonsági résekre vonatkozó PHP biztonsági tanácsadó adatbázis. Használhatja a PHP-CLI-t, a Symfony-CLI-t vagy a web-alapú programokat is, hogy ellenőrizze a composer.lock-ban a projektben használt könyvtárakkal kapcsolatos bármilyen ismert problémát..

A Symfony biztonsági értesítési szolgáltatást is kínál. Ez azt jelenti, hogy feltöltheti a composer.lock fájlt, és amikor a jövőben bármilyen veszélyesnek talált használt könyvtárat kap, értesítést kap.

Következtetés

Remélem, hogy a fenti eszközök használatával biztonságosabbá teszik a PHP alkalmazásokat. Az összes felsorolt ​​eszköz a forráskód elemzésére összpontosít, és ha további szüksége van, akkor nézzen meg egy nyílt forrású biztonsági szkennert.

Miután az alkalmazás készen áll, ne felejtse el felhőalapú WAF-ot hozzáadni a folyamatos biztonság érdekében az élhálózatból.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map