10 Pemindai Keamanan Kode PHP Terbaik untuk Menemukan Kerentanan

Temukan risiko keamanan dan kualitas kode di aplikasi PHP Anda.


PHP mengatur web, dengan sekitar 80% dari pangsa pasar. Ada di mana-mana – WordPress, Joomla, Lavarel, Drupal, dll.

Inti PHP aman, tetapi ada banyak hal di atas ini, yang mungkin Anda gunakan, dan itu mungkin rentan. Setelah pengembangan situs atau aplikasi web yang kompleks, sebagian besar pengembang dan pemilik situs fokus pada fungsionalitas, desain, SEO, dan mereka melupakan komponen penting – keamanan.

Sebagai praktik terbaik, Anda harus mempertimbangkan melakukan pemindaian keamanan terhadap aplikasi Anda sebelum ditayangkan. Ini berlaku untuk situs apa pun – kecil atau besar. Ada beberapa alat untuk membantu Anda.

PMF

Pencari Malware PHP (PMF) adalah solusi yang di-host-sendiri untuk membantu Anda menemukan kemungkinan kode berbahaya dalam file. Diketahui untuk mendeteksi cerdik, encoders, obfuscators, web shellcode.

PMF memanfaatkan YARA, jadi Anda perlu itu sebagai prasyarat untuk menjalankan tes.

RIPS

RIPS adalah salah satu alat analisis kode statis PHP yang populer untuk diintegrasikan melalui siklus pengembangan untuk menemukan masalah keamanan secara waktu nyata. Anda dapat mengategorikan temuan berdasarkan kepatuhan dan standar industri untuk memprioritaskan perbaikan.

  • OWASP Top 10
  • SANS 25 Teratas
  • PCI-DSS
  • HIPPA

Mari kita lihat beberapa fitur berikut.

  • Tentukan risiko berdasarkan keparahan dan opsi untuk menentukan bobot untuk kritis, tinggi, sedang, dan rendah.
  • Berkolaborasi penyelidikan dan memprioritaskan masalah ini
  • Memahami dampak kerentanan
  • Mengevaluasi risiko keamanan antara kode lama dan baru
  • Buat daftar tugas dan tugas yang diberikan menggunakan sistem tiket

RIPS memungkinkan Anda mengekspor laporan hasil pemindaian ke dalam berbagai format – PDF, CSV, dan lainnya dengan menggunakan RESTful API.

Ini tersedia sebagai model yang dikelola sendiri dan SaaS. Jadi pilih yang cocok untuk Anda.

SonarPHP

SonarPHP oleh SonarSource menggunakan pencocokan pola, teknik aliran data untuk menemukan kerentanan dalam kode PHP. Ini adalah penganalisa kode statis dan terintegrasi dengan Eclipse, IntelliJ.

SonarSource memeriksa kode terhadap lebih dari 140 aturan, dan juga mendukung aturan khusus yang ditulis dalam Java.

Exakat

Mesin penganalisa kode statis waktu nyata untuk memeriksa kepatuhan, risiko, dan memperkuat praktik terbaik. Exakat mendapat lebih dari 450 analisa didedikasikan untuk PHP. Ada beberapa analisa spesifik kerangka kerja seperti WordPress, CakePHP, Zend, dll.

Jika Anda memiliki kode aplikasi PHP di GitHub, maka Anda dapat menggunakan penganalisis publik mereka yang lain, Anda dapat memilih untuk mengunduh atau menggunakan online berbasis cloud.

Dengan bantuan Exakat, Anda dapat mengintegrasikan keamanan abadi ke dalam aplikasi Anda dan yang berikut.

  • Peninjauan kode terotomatisasi dengan lebih dari 100 aturan
  • Kepatuhan siap
  • Otomatiskan dokumentasi kode Anda
  • Migrasi PHP 7 menjadi mudah

Dengan pelaporan yang kuat, Anda dapat memprioritaskan perbaikan.

PHPStan

PHPStan adalah alat yang luar biasa untuk menemukan bug saat Anda menulis kode. Anda tidak perlu menjalankan apa pun.

Anda dapat mencoba versi online sini.

PHPStan memerlukan versi dan komposer 7,1 atau lebih tinggi untuk menggunakannya. Namun, ini mampu menemukan bug dari versi yang lebih lama.

Mazmur

Dibangun di atas PHP Parser, Mazmur Adalah baik untuk menemukan kesalahan dan membantu menjaga konsistensi untuk aplikasi yang lebih baik dan aman.

Progpilot

Progpilot analisa statis memungkinkan Anda menentukan jenis analisis seperti GET, POST, COOKIE, SHELL_EXEC, dll. Ini mendukung kerangka suiteCRM dan CodeIgniter saat ini.

Pemburu Kerentanan PHP

Fuzzer untuk mencari kerentanan menggunakan analisis statis dan dinamis. Ini pemburu mampu berburu yang berikut ini.

  • Skrip lintas situs
  • Injeksi SQL
  • Pembacaan file sewenang-wenang dan eksekusi perintah
  • Inklusi file lokal
  • Pengungkapan jalur lengkap

Pemindaian dilakukan dalam tiga fase – inisialisasi, pemindaian dan un-inisialisasi

Orang bakhil

Orang bakhil, alat berbasis python untuk melakukan analisis hibrida pada aplikasi berbasis PHP menggunakan PHP-SAT. Grabber juga tersedia di Kali Linux.

Symfony

Pemantauan Keamanan oleh Symfony bekerja dengan proyek PHP apa pun menggunakan komposer. Ini adalah database penasihat keamanan PHP untuk kerentanan yang diketahui. Anda bisa menggunakan PHP-CLI, Symfony-CLI, atau berbasis web untuk memeriksa composer.lock untuk setiap masalah yang diketahui dengan perpustakaan yang Anda gunakan dalam proyek.

Symfony juga menawarkan layanan pemberitahuan keamanan. Itu berarti Anda dapat mengunggah file composer.lock Anda, dan kapan pun di masa depan setiap pustaka yang digunakan ternyata rentan, Anda akan diberi tahu.

Kesimpulan

Saya harap dengan menggunakan alat-alat di atas, Anda membuat aplikasi PHP Anda lebih aman. Semua alat yang terdaftar fokus pada menganalisis kode sumber, dan jika Anda membutuhkan lebih banyak, maka periksa pemindai keamanan sumber terbuka.

Setelah aplikasi Anda siap, jangan lupa untuk menambahkan WAF berbasis cloud untuk keamanan berkelanjutan dari jaringan tepi.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map