ریسک امنیتی و کیفیت کد را در برنامه PHP خود پیدا کنید.


PHP با وب تقریباً حاکم است 80٪ از سهم بازار. همه جا است – وردپرس ، جوملا ، Lavarel ، دروپال و غیره.

هسته PHP ایمن است ، اما موارد مهم دیگری نیز وجود دارد که ممکن است از آنها استفاده کنید ، و ممکن است آسیب پذیر باشد. بعد از توسعه یک سایت یا برنامه وب پیچیده ، بسیاری از توسعه دهندگان و صاحبان سایت روی عملکرد ، طراحی ، سئو تمرکز می کنند و مؤلفه اساسی را فراموش می کنند – امنیت.

به عنوان بهترین روش ، شما باید قبل از پخش زنده ، اسکن امنیتی را علیه برنامه خود انجام دهید. این امر در مورد هر سایتی صدق می کند – کوچک یا بزرگ. برخی از ابزارها برای کمک به شما در این زمینه وجود دارد.

PMF

PHP Malware Finder (PMF) یک راه حل مخصوص خود میزبان برای کمک به شما در یافتن کدهای مخرب احتمالی در پرونده ها است. این شناخته شده است برای شناسایی طفره رفتن ، رمزگذارها ، دیافراگمها ، کدکد وب.

PMF اهرم YARA ، بنابراین شما نیاز دارید که به عنوان یک پیش نیاز برای اجرای آزمون.

ریپ

ریپ یکی از ابزارهای محبوب تجزیه و تحلیل کد استاتیک PHP است که باید از طریق چرخه چرخه توسعه برای یافتن مسائل امنیتی در زمان واقعی ادغام شود. برای اولویت بندی اصلاحات می توانید این یافته را با رعایت صنعت و استاندارد طبقه بندی کنید.

  • 10 برتر OWASP
  • SANS Top 25
  • PCI-DSS
  • HIPPA

بیایید نگاهی به برخی از ویژگی های زیر بیندازیم.

  • ریسک Pinpoint بر اساس شدت و گزینه ای برای تعیین وزن برای بحرانی ، زیاد ، متوسط ​​و پایین.
  • تحقیقات را هماهنگ کنید و موضوع را در اولویت قرار دهید
  • تاثیر آسیب پذیری را درک کنید
  • خطر امنیتی را بین کد قدیمی و جدید ارزیابی کنید
  • یک لیست کارها ایجاد کنید و با استفاده از سیستم فروش بلیط وظایف خود را اختصاص دهید

RIPS به شما امکان می دهد تا با استفاده از API RESTful ، گزارش نتایج اسکن را به چندین قالب – PDF ، CSV ، و سایر موارد صادر کنید.

به صورت یک مدل میزبان و SaaS در دسترس است. بنابراین انتخاب کنید چه چیزی برای شما مفید است.

SonarPHP

SonarPHP توسط SonarSource برای یافتن آسیب پذیری در کدهای PHP از الگوی تطبیق الگوی و روشهای جریان داده استفاده می کند. این آنالایزر کد ایستا است و با Eclipse ، IntelliJ ادغام می شود.

SonarSource کد را در برابر بیش از 140 قانون بررسی می کند ، همچنین از قوانین سفارشی که در جاوا نوشته شده پشتیبانی می کند.

اگزاکات

یک موتور آنالایزر کد ایستا در زمان واقعی برای بررسی انطباق ، خطر و تقویت بهترین روش ها. اگزاکات بیشتر از 450 تحلیلگر اختصاص داده شده به PHP. آنالیزورهای مخصوص چارچوب مانند WordPress ، CakePHP ، Zend و غیره وجود دارد.

اگر کد برنامه PHP خود را در GitHub دارید ، می توانید از آنالایزر عمومی آنها استفاده کنید و در غیر اینصورت می توانید بارگیری یا استفاده از ابر مبتنی بر اینترنت را انتخاب کنید..

با کمک Exakat می توانید امنیت ابدی را در برنامه خود و موارد زیر ادغام کنید.

  • بررسی کد به صورت خودکار با بیش از 100 قانون
  • سازگاری آماده است
  • مستندات کد خود را خودکار کنید
  • انتقال PHP 7 آسان شد

با گزارش گیری قوی می توانید اصلاح را در اولویت قرار دهید.

PHPStan

PHPStan یک ابزار فوق العاده برای پیدا کردن اشکالات هنگام نوشتن کد است. شما لازم نیست که هر چیزی را اجرا کنید.

می توانید نسخه آنلاین را امتحان کنید اینجا.

PHPStan برای استفاده از آن به نسخه 7.1 یا بالاتر و آهنگساز نیاز دارد. با این حال ، این دستگاه قادر به کشف اشکالات از نسخه قدیمی است.

مزمور

ساخته شده در بالای PHP پارسر, مزمور خوب است برای پیدا کردن خطا و کمک به حفظ ثبات برای یک برنامه بهتر و امن تر است.

Progpilot

Progpilot آنالایزر استاتیک به شما امکان می دهد نوع آنالیز مانند GET ، POST ، COOKIE ، SHELL_EXEC و غیره را مشخص کنید .این برنامه در حال حاضر از suiteCRM و CodeIgniter پشتیبانی می کند..

شکارچی آسیب پذیری PHP

استفاده از آنالیز استاتیک و دینامیکی برای یافتن آسیب پذیری ها. این شکارچی قادر به شکار موارد زیر است.

  • برنامه نویسی متقاطع
  • تزریق SQL
  • پرونده خودسرانه خواندن و اجرای دستور
  • گنجاندن پرونده محلی
  • افشای کامل مسیر

اسکن در سه مرحله انجام می پذیرد – اولیه سازی ، اسکن کردن و غیر اولیه سازی

گرابر

گرابر, یک ابزار مبتنی بر پایتون برای انجام تجزیه و تحلیل ترکیبی بر روی یک برنامه مبتنی بر PHP با استفاده از PHP-SAT. Grabber نیز در دسترس است کالی لینوکس.

سمفونی

نظارت امنیتی توسط سمفونی با هر پروژه PHP با استفاده از آهنگساز کار می کند. این یک پایگاه داده مشاوره امنیتی PHP برای آسیب پذیریهای شناخته شده است. شما می توانید از PHP-CLI ، Symfony-CLI یا وب مبتنی برای بررسی آهنگساز.لو برای هرگونه مسئله شناخته شده با کتابخانه هایی که در پروژه استفاده می کنید استفاده کنید..

Symfony همچنین یک سرویس اطلاع رسانی امنیتی ارائه می دهد. این بدان معناست که می توانید پرونده آهنگساز.لاک خود را بارگذاری کنید و هر زمان که در آینده هر کتابخانه مورد استفاده آسیب پذیر شود ، به شما اطلاع داده می شود.

نتیجه

امیدوارم با استفاده از ابزارهای فوق برنامه های PHP خود را ایمن تر کنید. همه ابزارهای ذکر شده روی تجزیه و تحلیل کد منبع تمرکز دارند و در صورت نیاز به اطلاعات بیشتر ، یک اسکنر امنیتی منبع باز را بررسی کنید.

پس از آماده شدن برنامه ، فراموش نکنید که یک WAF مبتنی بر ابر را برای امنیت مداوم از شبکه لبه اضافه کنید.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me