10 най-добри скенера за защита на PHP код за намиране на уязвимости

Намерете риска за сигурността и качеството на кода във вашето PHP приложение.


PHP управлява мрежата, с около 80% от пазарния дял. Тя е навсякъде – WordPress, Joomla, Lavarel, Drupal и т.н..

PHP ядрото е защитено, но има много повече от всичко, което може да използвате и което може да е уязвимо. След разработването на сайт или сложно уеб приложение повечето от разработчиците и собствениците на сайтове се съсредоточават върху функционалността, дизайна, SEO и те забравят основния компонент – сигурност.

Като най-добра практика трябва да помислите за извършване на сканиране на защита срещу приложението си, преди да станете на живо. Това важи за всеки сайт – малък или голям. Има някои инструменти, които да ви помогнат в това.

ОДП

PHP Finder за злонамерен софтуер (PMF) е самостоятелно хоствано решение, което ще ви помогне да намерите възможни злонамерени кодове във файловете. Известно е, че открива измама, енкодери, обфускатори, уеб черупков код.

PMF използвайте YARA, така че това е необходимо като предварително условие за провеждане на теста.

разкъсва

разкъсва е един от популярните инструменти за анализ на статичен код на PHP, който трябва да бъде интегриран през жизнения цикъл на разработката, за да намери проблеми в сигурността в реално време. Можете да категоризирате констатацията по съответствие на индустрията и стандарт, за да дадете приоритет на поправките.

  • OWASP Топ 10
  • ДАНС Топ 25
  • PCI-DSS
  • HIPPA

Нека разгледаме някои от следните функции.

  • Точен риск въз основа на тежестта и опцията за определяне на теглата за критични, високи, средни и ниски.
  • Сътрудничество за разследване и приоритизиране на проблема
  • Разберете въздействието на уязвимостта
  • Оценете риска за сигурността между стар и нов код
  • Създайте списък със задачи и задайте задачи с помощта на системата за издаване на билети

RIPS ви позволява да експортирате отчетите за резултатите от сканиране в множество формати – PDF, CSV и други, като използвате API RESTful.

Предлага се като самостоятелен хост и SaaS модел. Затова изберете какво работи за вас.

SonarPHP

SonarPHP от SonarSource използва съвпадение на модели, техники на потока на данни, за да намери уязвимости в PHP кодове. Той е анализатор на статичен код и се интегрира с Eclipse, IntelliJ.

SonarSource проверява кода спрямо повече от 140 правила, а също така поддържа персонализирани правила, написани на Java.

Exakat

Двигател за статичен код в реално време за проверка на спазването, риска и засилване на най-добрите практики. Exakat имам повече от 450 анализатори посветен на PHP. Съществуват специфични за рамката анализатори като WordPress, CakePHP, Zend и т.н..

Ако имате своя код за приложение на PHP в GitHub, тогава можете да използвате техния обществен анализатор, друго можете да изберете да изтеглите или използвате облачната онлайн версия.

С помощта на Exakat можете да интегрирате вечната сигурност във вашето приложение и в следното.

  • Автоматичен преглед на кода с повече от 100 правила
  • Съответствието е готово
  • Автоматизирайте кодовата си документация
  • PHP 7 миграцията стана лесна

С надеждното отчитане можете да дадете приоритет на отстраняването.

PHPStan

PHPStan е фантастичен инструмент за намиране на грешки, докато пишете кода. Не е нужно да пускате нищо.

Можете да опитате онлайн версията тук.

PHPStan изисква 7.1 или по-нова версия и композитор, за да го използва. Въпреки това, той е в състояние да открие бъгове от по-стара версия.

псалм

Изграден на върха на PHP Parser, псалм е добре да намерите грешки и да помогнете за поддържане на последователност за по-добро и сигурно приложение.

Progpilot

Progpilot статичният анализатор ви позволява да укажете типа анализ като GET, POST, COOKIE, SHELL_EXEC и др. Той поддържа suiteCRM и CodeIgniter рамка в момента.

PHP Ловец на уязвимост

Бъдеще за търсене на уязвимости чрез статичен и динамичен анализ. Това ловец е способен да ловува следното.

  • Изготвяне на скриптове на място
  • SQL инжекция
  • Произволно четене и изпълнение на команда
  • Локално включване на файлове
  • Пълно разкриване на пътя

Сканирането се извършва на три фази – инициализация, сканиране и неинициализация

хищник

хищник, инструмент, базиран на питон, за извършване на хибриден анализ на PHP-базирано приложение, използвайки PHP-SAT. Grabber се предлага и на Kali Linux.

Symfony

Мониторинг на сигурността от Symfony работи с всеки PHP проект, използвайки композитора. Това е консултативна база данни за сигурност на PHP за известни уязвимости. Можете да използвате PHP-CLI, Symfony-CLI или уеб-базирана, за да проверите composer.lock за всички известни проблеми с библиотеките, които използвате в проекта.

Symfony предлага и услуга за уведомяване за сигурност. Това означава, че можете да качите своя файл composer.lock и всеки път, когато в бъдеще всички използвани библиотеки, за които се установи, че са уязвими, ще получите известие.

заключение

Надявам се, че използвайки горните инструменти, вие правите вашите PHP приложения по-сигурни. Всички изброени инструменти се фокусират върху анализа на изходния код и ако имате нужда от повече, проверете скенер за сигурност с отворен код.

След като приложението ви е готово, не забравяйте да добавите облачен WAF за непрекъсната защита от крайната мрежа.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map