10 Besti öryggisskanninn fyrir PHP kóða til að finna veikleika

Finndu öryggisáhættu og kóða gæði í PHP forritinu þínu.


PHP reglur vefinn, með um það bil 80% af markaðshlutdeildinni. Það er alls staðar – WordPress, Joomla, Lavarel, Drupal osfrv.

PHP kjarna er öruggur, en það eru miklu fleiri ofan á þessu, sem þú gætir verið að nota, og það gæti verið viðkvæmt. Eftir þróun á vefsíðu eða flóknu vefforriti einbeita flestir verktaki og eigendur vefsins sér að virkni, hönnun, SEO og þeir gleyma nauðsynlegum þætti – öryggi.

Sem besta starf ættir þú að íhuga að framkvæma öryggisskönnun gegn umsókn þinni áður en þú ferð í beinni útsendingu. Þetta á við um allar síður – litlar eða stórar. Það eru nokkur tæki til að hjálpa þér við það.

PMF

PHP Malware Finder (PMF) er sjálf-hýst lausn til að hjálpa þér að finna mögulega skaðlega kóða í skráunum. Það er vitað að greina dodgy, umrita í dulmál, obfuscators, vefskelkóða.

PMF skiptimynt YARA, svo þú þarft það sem forsendu til að keyra prófið.

RIPS

RIPS er eitt af vinsælustu PHP kóðagreiningartækjunum sem þarf að samþætta í þróunarlífsferlinum til að finna öryggismál í rauntíma. Þú getur flokkað niðurstöðuna eftir samræmi í iðnaði og staðli til að forgangsraða lagfæringum.

  • OWASP Topp 10
  • SANS 25 efstu
  • PCI-DSS
  • HIPPA

Við skulum skoða nokkrar af eftirtöldum eiginleikum.

  • Finnið áhættu út frá alvarleika og möguleika á að skilgreina þyngd fyrir mikilvæga, háa, miðlungs og lága.
  • Samvinna rannsóknarinnar og forgangsraða málinu
  • Skilja áhrif varnarinnar
  • Metið öryggisáhættu á milli gömul og nýrra kóða
  • Búðu til verkefnalista og úthlutaðu verkefnum með aðgöngumiðakerfinu

RIPS gerir þér kleift að flytja skönnunarárangursskýrslur yfir í mörg snið – PDF, CSV og önnur með því að nota RESTful API.

Það er fáanlegt sem sjálf-hýst og SaaS líkan. Veldu svo það sem hentar þér.

SonarPHP

SonarPHP eftir SonarSource notar munsturssamsvörun, gagnastreymitækni til að finna varnarleysi í PHP kóða. Það er tölfræðilegur kóðagreiningarmaður og samþættir Eclipse, IntelliJ.

SonarSource athugar kóðann gegn meira en 140 reglum og hann styður einnig sérsniðnar reglur skrifaðar í Java.

Exakat

Raunverulegur tölfræðilegur kóðagreina vél til að kanna samræmi, áhættu og styrkja bestu starfshætti. Exakat fékk meira en 450 greiningartæki tileinkað PHP. Það eru til ramma-sértækir greiningaraðilar eins og WordPress, CakePHP, Zend, osfrv.

Ef þú ert með PHP umsóknarkóðann þinn í GitHub, þá geturðu notað opinbera greiningartækið sitt annað, þú getur valið að hlaða niður eða nota skýið sem byggir á netinu.

Með hjálp Exakat geturðu samþætt eilíft öryggi í umsókn þína og eftirfarandi.

  • Kóðarúttekt sjálfvirk með meira en 100 reglum
  • Fylgni tilbúin
  • Sjálfvirkan kóða skjöl þín
  • PHP 7 flutningur var auðveldur

Með öflugri skýrslugerð geturðu forgangsraðað lagfæringunni.

PHPStan

PHPStan er frábært tæki til að finna villur þegar þú skrifar kóðann. Þú þarft ekki að keyra neitt.

Þú getur prófað netútgáfuna hér.

PHPStan þarf 7.1 eða hærri útgáfu og tónskáld til að nota það. Hins vegar er það fær um að uppgötva galla úr eldri útgáfu.

Sálmur

Byggt ofan á PHP Parser, Sálmur er gott að finna villur og hjálpa til við að viðhalda samræmi fyrir betra og öruggt forrit.

Progpilot

Progpilot kyrrstæður greiningartæki gerir þér kleift að tilgreina greiningargerð eins og GET, POST, COOKIE, SHELL_EXEC osfrv. Það styður suiteCRM og CodeIgniter ramma um þessar mundir.

Veikleikaveiðimaður PHP

A fuzzer til að leita að varnarleysi með því að nota truflanir og kraftmiklar greiningar. Þetta veiðimaður er fær um að veiða eftirfarandi.

  • Handrit yfir vefinn
  • SQL innspýting
  • Handahófskennd skrá lesin og framkvæmd skipana
  • Local skrá innifalinn
  • Upplýsing um fulla leið

Grannskoðunin er gerð í þremur áföngum – frumstilling, skönnun og frumstilling

Grípa

Grípa, Python byggir tól til að framkvæma blendingur greiningu á PHP-undirstaða umsókn með PHP-SAT. Grabber er einnig fáanlegt á Kali Linux.

Sinfónía

Öryggiseftirlit með Sinfónía vinnur með hvaða PHP verkefni sem notar tónskáldið. Það er PHP öryggisráðgefandi gagnagrunnur fyrir þekkt varnarleysi. Þú getur annað hvort notað PHP-CLI, Symfony-CLI eða á vefnum til að kanna composer.lock á þekktum vandamálum með bókasöfnunum sem þú notar í verkefninu.

Symfony býður einnig upp á tilkynningu um öryggi. Það þýðir að þú getur hlaðið upp composer.lock skránni þinni, og hvenær sem er í framtíðinni, notuð bókasöfn sem finnast vera viðkvæm, þá færðu tilkynningu.

Niðurstaða

Ég vona að með ofangreindum tækjum geri þú PHP forritin þín öruggari. Öll verkfærin sem talin eru upp einbeita sér að því að greina kóðann og ef þig vantar meira skaltu skoða öryggisskannann sem er opinn.

Þegar umsókn þín er tilbúin skaltu ekki gleyma að bæta við ský-undirstaða WAF fyrir stöðugt öryggi frá jaðarnetsnetinu.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map