10 Beste sekuriteitsskandeerder vir PHP-kodes om kwesbaarhede te vind

Vind sekuriteitsrisiko en kodekwaliteit in u PHP-toepassing.


PHP regeer die web, met ongeveer 80% van die markaandeel. Dit is oral – WordPress, Joomla, Lavarel, Drupal, ens.

PHP kern is veilig, maar daar is nog baie meer hiervan wat u kan gebruik en wat kwesbaar kan wees. Na die ontwikkeling van ‘n webwerf of ‘n ingewikkelde webtoepassing, fokus die meeste ontwikkelaars en eienaars van webwerwe op funksionaliteit, ontwerp, SEO, en vergeet hulle die belangrikste komponent – sekuriteit.

As beste praktyk, moet u dit oorweeg om ‘n sekuriteitskandering teen u aansoek uit te voer voordat u regstreeks gaan. Dit geld vir enige webwerf – klein of groot. Daar is ‘n paar instrumente om jou daarmee te help.

PMF

PHP Malware Finder (PMF) is ‘n oplossing wat self aangebied word om u te help om moontlike kwaadwillige kodes in die lêers te vind. Dit is bekend om dodgy, enkodeerders, verduisteraars, webskulpkodes op te spoor.

PMF hefboom YARA, dus u moet dit as ‘n vereiste hê om die toets af te lê.

vreet

vreet is een van die gewilde PHP-analise-instrumente vir statiese kodes wat deur die ontwikkelingslewensiklus geïntegreer moet word om sekuriteitskwessies intyds te vind. U kan die bevinding volgens die nakoming en standaard van die bedryf kategoriseer om die regstellings te prioritiseer.

  • OWASP Top 10
  • SANS Top 25
  • PCI-DSS
  • HIPPA

Kom ons kyk na enkele van die volgende funksies.

  • Bepaal die risiko gebaseer op die erns en die opsie om gewigte te definieer vir kritieke, hoë, medium en lae.
  • Werk saam aan die ondersoek en prioritiseer die saak
  • Verstaan ​​die impak van die kwesbaarheid
  • Evalueer die veiligheidsrisiko tussen ou en nuwe kode
  • Maak ‘n taaklys en ken take toe met behulp van die kaartjie-stelsel

Met RIPS kan u scanresultate in verskeie formate uitvoer – PDF, CSV en andere deur RESTful API te gebruik.

Dit is beskikbaar as ‘n self-host en SaaS-model. Kies dus wat vir u werk.

SonarPHP

SonarPHP deur SonarSource gebruik patroonaanpassing, datavloeitegnieke om kwesbaarhede in PHP-kodes te vind. Dit is ‘n statiese kodeanaliseerder en integreer met Eclipse, IntelliJ.

SonarSource kontroleer die kode teen meer as 140 reëls, en dit ondersteun ook pasgemaakte reëls wat in Java geskryf is.

Exakat

‘N Intydse enjin vir die ontleed van statiese kodes om die nakoming, risiko’s en beste praktyke te kontroleer. Exakat het meer as 450 ontleders toegewy aan PHP. Daar is raamwerk-spesifieke ontleders soos WordPress, CakePHP, Zend, ens.

As u u PHP-programkode in GitHub het, kan u hul openbare ontleder gebruik, anders kan u kies om die wolk-gebaseerde aanlyn af te laai of te gebruik.

Met die hulp van Exakat kan u die ewige veiligheid in u toepassing en die volgende integreer.

  • Kode-hersiening outomaties met meer as 100 reëls
  • Voldoening gereed
  • Outomatiseer u kodedokumentasie
  • PHP 7-migrasie is maklik gemaak

Met die deeglike verslaggewing, kan u die remediëring prioritiseer.

PHPStan

PHPStan is ‘n fantastiese hulpmiddel om foute te vind terwyl u die kode skryf. U hoef niks te bestuur nie.

U kan die aanlynweergawe probeer hier.

PHPStan benodig 7.1 of hoër weergawe en komponis om dit te gebruik. Dit kan egter foute van ‘n ouer weergawe ontdek.

Psalm

Gebou bo-op PHP Parser, Psalm is goed om foute te vind en om konsekwentheid te handhaaf vir ‘n beter en veilige toepassing.

Progpilot

Progpilot met statiese ontleder kan u die ontledingstipe spesifiseer soos GET, POST, COOKIE, SHELL_EXEC, ens. Dit ondersteun op die oomblik suiteCRM en CodeIgniter-raamwerk.

PHP Kwesbaarheid Hunter

‘N Fuzzer om na kwesbaarhede te kyk met behulp van statiese en dinamiese ontleding. hierdie jagter kan die volgende jag.

  • Kruiswêreldskripsies
  • SQL-inspuiting
  • Arbitrêre lêer gelees en uitvoering van die opdrag
  • Plaaslike lêerinsluiting
  • Volle openbaarmaking

Die skandering word in drie fases gedoen – inisialisering, skandering en oninitialisering

haai

haai, ‘n python-gebaseerde instrument om basteranalise op ‘n PHP-gebaseerde toepassing met behulp van PHP-SAT uit te voer. Grabber is ook beskikbaar op Kali Linux.

Symfony

Sekuriteitsmonitering deur Symfony werk met enige PHP-projek met behulp van die komponis. Dit is ‘n databasis vir veiligheidsadvies vir PHP vir bekende kwesbaarhede. U kan óf PHP-CLI, Symfony-CLI of op die web gebruik om komponis.lock na te gaan vir enige bekende probleme met die biblioteke wat u in die projek gebruik..

Symfony bied ook ‘n sekuriteitskennisgewingdiens aan. Dit beteken dat u u composer.lock-lêer kan oplaai, en wanneer biblioteke wat gebruik word as kwesbaar in die toekoms, sal u in kennis gestel word.

Afsluiting

Ek hoop dat u met behulp van bogenoemde instrumente u PHP-toepassings veiliger maak. Al die lys instrumente fokus op die ontleding van bronkode, en as u meer benodig, gaan kyk na ‘n oopbron-sekuriteitsskandeerder.

Sodra u aansoek gereed is, moet u nie vergeet om ‘n wolkgebaseerde WAF by te voeg vir deurlopende sekuriteit vanaf die randnetwerk nie.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map