Həssaslığı tapmaq üçün 10 ən yaxşı PHP Kod Təhlükəsizlik Skaneri

PHP tətbiqetmənizdə təhlükəsizlik riski və kod keyfiyyətini tapın.


Ətrafında olan, PHP veb qaydalarını tənzimləyir Bazar payının 80% -i. Hər yerdə – WordPress, Joomla, Lavarel, Drupal və s.

PHP nüvəsi etibarlıdır, lakin bunun üzərində istifadə edə biləcəyiniz və həssas ola biləcək bir çox şey var. Saytın və ya kompleks veb tətbiqinin işlənməsindən sonra, tərtibatçıların və sayt sahiblərinin əksəriyyəti funksionallıq, dizayn, SEO-ya diqqət yetirirlər və əsas komponenti unuturlar – təhlükəsizlik.

Ən yaxşı bir təcrübə olaraq, canlı yayımlamadan əvvəl tətbiqinizə qarşı bir təhlükəsizlik tarama keçirməyi düşünməlisiniz. Bu hər hansı bir sayta aiddir – kiçik və ya böyük. Bununla sizə kömək edəcək bəzi vasitələr var.

PMF

PHP Zərərli proqramı axtaran (PMF), fayllarda mümkün zərərli kodları tapmağa kömək etmək üçün öz-özünə qurulmuş bir həlldir. Dodgy, encoders, obfuscators, web shellcode aşkar etmək məlumdur.

PMF qolu YARA, buna görə testi aparmaq üçün ilkin şərt kimi ehtiyacınız var.

RİPLƏR

RİPLƏR real vaxt rejimində təhlükəsizlik problemlərini tapmaq üçün inkişaf dövrü ilə inteqrasiya ediləcək populyar PHP statik kod analiz vasitələrindən biridir. Siz düzəlişləri prioritetləşdirmək üçün sənayenə uyğunluq və standart üzrə təsnif edə bilərsiniz.

  • OWASP Top 10
  • SANS Top 25
  • PCI-DSS
  • HIPPA

Aşağıdakı bəzi xüsusiyyətlərə nəzər salaq.

  • Tənqidi, yüksək, orta və aşağı çəkiləri müəyyənləşdirmək üçün şiddətə və seçimə əsaslanan risk nöqtəsi.
  • İstintaqı genişləndirin və məsələni prioritetləşdirin
  • Zəifliyin təsirini anlayın
  • Köhnə və yeni kod arasında təhlükəsizlik riskini qiymətləndirin
  • Görüşlər siyahısı yaradın və bilet sistemindən istifadə edərək tapşırıqlar verin

RIPS RESTful API istifadə edərək tarama nəticələri hesabatını bir çox formata – PDF, CSV və başqalarına ixrac etməyə imkan verir.

Özünə məxsus və SaaS modeli olaraq mövcuddur. Buna görə sizin üçün nə işlədiyini seçin.

SonarPHP

SonarPHP SonarSource PHP kodlarında zəiflik tapmaq üçün nümunə uyğunluğu, məlumat axını üsullarından istifadə edir. Statik kod analizatorudur və Eclipse, IntelliJ ilə birləşir.

SonarSource kodu 140-dan çox qaydalara qarşı yoxlayır və Java-da yazılmış xüsusi qaydaları da dəstəkləyir.

Exakat

Uyğunluq, risk və ən yaxşı təcrübələri gücləndirmək üçün real vaxt statik kod analizatoru mühərriki. Exakat daha çox var 450 analizator PHP-yə həsr olunmuşdur. WordPress, CakePHP, Zend və s. Kimi çərçivə spesifik analizatorları var.

GitHub-da PHP tətbiq kodunuz varsa, onda bulud əsaslı onlayn yükləmək və ya istifadə etmək üçün seçə biləcəyiniz başqa ümumi analizatorları istifadə edə bilərsiniz..

Exakat köməyi ilə əbədi təhlükəsizliyi tətbiqinizə və aşağıdakılara inteqrasiya edə bilərsiniz.

  • Kod baxış 100-dən çox qaydada avtomatlaşdırılmışdır
  • Uyğunluq hazırdır
  • Kod sənədlərinizi avtomatlaşdırın
  • PHP 7 köçü asanlaşdırdı

Etibarlı hesabatla, bərpa etməyi prioritetləşdirə bilərsiniz.

PHPStan

PHPStan kodu yazarkən səhvləri tapmaq üçün fantastik bir vasitədir. Heç bir şey işlətməyə ehtiyac yoxdur.

Onlayn versiyanı sınaya bilərsiniz burada.

PHPStan istifadə etmək üçün 7.1 və ya daha yüksək versiya və bəstəkar tələb edir. Bununla birlikdə köhnə bir versiyadan səhvləri aşkar etməyə qadirdir.

Məzmur

PHP Parser’in üstündə qurulub, Məzmur səhvləri tapmaq və daha yaxşı və etibarlı bir tətbiq üçün ardıcıllığı qorumağa kömək etmək yaxşıdır.

Proqvilot

Proqvilot statik analizator GET, POST, COOKIE, SHELL_EXEC və s. kimi analiz tipini təyin etməyə imkan verir. Bu anda suiteCRM və CodeIgniter çərçivəsini dəstəkləyir.

PHP Zəiflik Ovçusu

Statik və dinamik analizdən istifadə edərək zəiflikləri axtarmaq üçün bir füzer. Bu ovçu aşağıdakıları ovlamağa qadirdir.

  • Saytlararası skript
  • SQL enjeksiyonu
  • Özbaşına sənəd oxumaq və əmrlərin icrası
  • Yerli sənəd daxil edilməsi
  • Yolun tam açıqlanması

Tarama üç mərhələdə aparılır – başlanğıc, tarama və qeyri-başlanğıc

Grabber

Grabber, PHP-SAT istifadə edərək bir PHP əsaslı bir tətbiqdə hibrid təhlili aparmaq üçün bir pitona əsaslanan bir vasitədir. Grabber də mövcuddur Kali Linux.

Simfoniya

Təhlükəsizlik Monitorinqi Simfoniya bəstəkardan istifadə edərək hər hansı bir PHP layihəsi ilə işləyir. Məlum olan zəifliklər üçün bir PHP təhlükəsizlik məsləhət bazasıdır. Layihədə istifadə etdiyiniz kitabxanalarla bağlı hər hansı məlum məsələlərin kompozitor.lockunu yoxlamaq üçün PHP-CLI, Symfony-CLI və ya veb-based istifadə edə bilərsiniz..

Symfony, həmçinin təhlükəsizlik bildiriş xidməti təqdim edir. Bu, kompozitor.lock faylınızı yükləyə biləcəyiniz deməkdir və gələcəkdə həssas olduğu aşkar edilmiş kitabxanaların hamısına xəbərdarlıq verəcəksiniz..

Nəticə

Ümid edirəm yuxarıda göstərilən vasitələrdən istifadə edərək, PHP tətbiqlərinizi daha etibarlı edirsiniz. Sadalanan vasitələrin hamısı mənbə kodunu təhlil etməyə yönəlmişdir və daha çox ehtiyacınız varsa, açıq mənbəli təhlükəsizlik skanerinə baxın.

Tətbiqiniz hazır olduqdan sonra kənar şəbəkədən davamlı təhlükəsizlik üçün bir bulud əsaslı WAF əlavə etməyi unutmayın.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map