10 geriausių PHP kodo saugos skaitytuvų pažeidžiamumui surasti

Raskite saugos riziką ir kodo kokybę savo PHP programoje.


PHP tvarko žiniatinklį, kuriame yra apie 80% rinkos dalies. Tai yra visur – „WordPress“, „Joomla“, „Lavarel“, „Drupal“ ir kt.

PHP branduolys yra saugus, tačiau jame yra daug daugiau, kuriuos galbūt naudojate ir kurie gali būti pažeidžiami. Sukūrę svetainę ar sudėtingą žiniatinklio programą, dauguma kūrėjų ir svetainių savininkų sutelkia dėmesį į funkcionalumą, dizainą, SEO ir pamiršta svarbiausią komponentą – saugumas.

Geriausia praktika, prieš pradėdami naudoti, turėtumėte apsvarstyti savo programos saugos nuskaitymą. Tai taikoma bet kuriai svetainei – mažai ar didelei. Yra keletas įrankių, kurie padės tai padaryti.

PMF

PHP kenkėjiškų programų paieška (PMF) yra savarankiškas sprendimas, padėsiantis rasti galimus kenksmingus kodus failuose. Yra žinoma, kad galima aptikti apgaulingus, šifruotuvus, blokatorius, žiniatinklio apvalkalą.

PMF naudoja YARA, todėl jums to reikia kaip išankstinę sąlygą norint atlikti testą.

RIPAI

RIPAI yra viena iš populiarių PHP statinio kodo analizės priemonių, kurią reikia integruoti per kūrimo ciklą, kad būtų galima rasti saugumo problemas realiuoju laiku. Norėdami suskirstyti prioritetus į pataisas, išvadą galite suskirstyti pagal pramonės atitiktį ir standartą.

  • „OWASP Top 10“
  • SANS Top 25
  • PCI-DSS
  • HIPPA

Pažvelkime į šias funkcijas.

  • Tiksli rizika, pagrįsta sunkumu, ir galimybė nustatyti kritinio, aukšto, vidutinio ir žemo svorio koeficientus.
  • Bendradarbiaukite tyrime ir nustatykite prioritetą klausimui
  • Supraskite pažeidžiamumo poveikį
  • Įvertinkite seno ir naujo kodo saugumo riziką
  • Sukurkite darbų sąrašą ir paskirstykite užduotis naudodamiesi bilietų pardavimo sistema

RIPS leidžia eksportuoti nuskaitymo rezultatų ataskaitas į kelis formatus – PDF, CSV ir kitus, naudojant RESTful API.

Jis tiekiamas kaip savarankiškas ir „SaaS“ modelis. Taigi pasirinkite tai, kas jums tinka.

„SonarPHP“

„SonarPHP“ „SonarSource“ naudoja modelių atitikimą, duomenų srauto techniką, kad rastų PHP kodų pažeidžiamumus. Tai yra statinio kodo analizatorius ir integruotas su „Eclipse“, „IntelliJ“.

„SonarSource“ patikrina kodą pagal daugiau nei 140 taisyklių, jis taip pat palaiko „Java“ parašytas pasirinktines taisykles.

Egzaminas

Statinio kodo analizatoriaus realiojo laiko variklis, skirtas patikrinti atitiktį, riziką ir sustiprinti geriausią praktiką. Egzaminas gavo daugiau nei 450 analizatorių skirta PHP. Yra sistemai būdingų analizatorių, tokių kaip „WordPress“, „CakePHP“, „Zend“ ir kt.

Jei turite „PHP“ programos kodą „GitHub“, tada galite naudoti jų viešąjį analizatorių, kurį galite pasirinkti atsisiųsti arba naudoti „debesies“ pagrindu sukurtą internetą.

Naudodamiesi „Exakat“, galite integruoti amžinąjį saugumą į savo programą ir kitus dalykus.

  • Kodo peržiūra automatizuota, naudojant daugiau nei 100 taisyklių
  • Parengta atitiktis
  • Automatizuokite savo kodo dokumentaciją
  • PHP 7 perkėlimas tapo lengvas

Turėdami patikimą ataskaitą, galite ištaisyti prioritetą.

PHPStan

PHPStan yra fantastiškas įrankis ieškant klaidų rašant kodą. Jums nieko nereikia vykdyti.

Galite išbandyti internetinę versiją čia.

Norint naudoti „PHPStan“ reikalinga 7.1 ar naujesnė versija ir kompozitorius. Tačiau ji gali aptikti klaidų iš senesnės versijos.

Psalmė

Pastatytas ant PHP analizatoriaus viršaus, Psalmė Gerai rasti klaidas ir padėti išlaikyti nuoseklumą, kad programa būtų geresnė ir saugesnė.

„Progpilot“

„Progpilot“ statinis analizatorius leidžia jums nurodyti analizės tipą, pvz., GET, POST, COOKIE, SHELL_EXEC ir tt. Šiuo metu jis palaiko „suiteCRM“ ir „CodeIgniter“ pagrindus..

PHP pažeidžiamumo medžiotojas

„Fuzzer“ turi ieškoti pažeidžiamumų naudodamas statinę ir dinaminę analizę. Tai medžiotojas geba medžioti šiuos dalykus.

  • Skirtingų svetainių scenarijai
  • SQL injekcija
  • Savavališkas failų skaitymas ir komandų vykdymas
  • Vietinių failų įtraukimas
  • Visas kelio atskleidimas

Nuskaitymas atliekamas trimis etapais – inicijavimas, nuskaitymas ir neinicijavimas

Griebtuvas

Griebtuvas, Python pagrindu sukurtas įrankis hibridinei analizei atlikti naudojant PHP pagrįstą programą, naudojant PHP-SAT. Griebtuvas taip pat yra Kali Linux.

Simfonija

Saugumo stebėjimas Simfonija dirba su bet kokiu PHP projektu, naudodamas kompozitorių. Tai patariamoji PHP duomenų bazė, skirta žinomiems pažeidžiamumams. Galite naudoti PHP-CLI, Symfony-CLI arba internetinę, norėdami patikrinti composer.lock, ar nėra kokių nors žinomų su jūsų naudojamų bibliotekų problemomis..

„Symfony“ taip pat siūlo saugumo pranešimo paslaugą. Tai reiškia, kad galite nusiųsti failą „composer.lock“ ir kai ateityje naudotos bibliotekos bus pažeidžiamos, gausite pranešimą.

Išvada

Tikiuosi, naudodamiesi aukščiau pateiktais įrankiais, padarysite savo PHP programas saugesnes. Visi išvardyti įrankiai sutelkti dėmesį į šaltinio kodo analizę. Jei jums reikia daugiau, tada patikrinkite atvirojo kodo saugos skaitytuvą.

Kai jūsų programa bus parengta, nepamirškite pridėti debesiu paremto WAF, kad galėtumėte nuolat saugoti kraštinį tinklą.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map