10 najboljih sigurnosnih skenera PHP koda za pronalaženje ranjivosti

Pronađite sigurnosni rizik i kvalitetu koda u svojoj PHP aplikaciji.


PHP vlada internetom, s okolo 80% tržišnog udjela. Svugdje su – WordPress, Joomla, Lavarel, Drupal, itd.

PHP jezgra je sigurna, ali postoji puno više toga na vrhu, što bi mogli koristiti, a to može biti ranjivo. Nakon razvoja web stranice ili složene web aplikacije, većina programera i vlasnika web mjesta usredotočeni su na funkcionalnost, dizajn, SEO i zaboravljaju bitnu komponentu – sigurnosti.

Kao najbolju praksu trebali biste razmotriti sigurnosnu provjeru vaše aplikacije prije nego što počnete uživo. Ovo se odnosi na bilo koju web lokaciju – malu ili veliku. Postoje neki alati koji vam mogu pomoći u tome.

PMF

PHP Finder malware (PMF) je samostalno rješenje koje će vam pomoći u pronalaženju mogućih zlonamjernih kodova u datotekama. Poznato je za otkrivanje dodija, enkodera, obfuskatora, internetskog kôda.

PMF iskorištava YARA, pa će vam to trebati kao preduvjet za pokretanje testa.

RIP

RIP jedan je od popularnih PHP alata za statičku analizu integrirati kroz razvojni životni ciklus kako bi se pronašli sigurnosni problemi u stvarnom vremenu. Možete kategorizirati nalaz prema usklađenosti s industrijom i standardom da biste odredili prioritet ispravke.

  • OWASP Top 10
  • SANS Top 25
  • PCI-DSS
  • HIPPA

Pogledajmo neke od sljedećih značajki.

  • Određivanje rizika na temelju ozbiljnosti i mogućnosti definiranja težine za kritične, visoke, srednje i niske.
  • Suradite na istrazi i dodijelite prioritet tom pitanju
  • Shvatite utjecaj ranjivosti
  • Procijenite sigurnosni rizik između starog i novog koda
  • Napravite popis obveza i dodijelite zadatke pomoću sustava za prodaju ulaznica

RIPS omogućuje izvoz izveštaja o rezultatima skeniranja u više formata – PDF, CSV i drugi koristeći RESTful API.

Dostupan je kao samostalni domaćin i SaaS model. Dakle, odaberite ono što radi za vas.

SonarPHP

SonarPHP SonarSource koristi podudaranje uzoraka, protok podataka za pronalaženje ranjivosti u PHP kodovima. To je statički analizator koda i integrira se s Eclipse, IntelliJ.

SonarSource provjerava kod prema više od 140 pravila, a također podržava prilagođena pravila napisana na Javi.

Exakat

Motor za analizu statičkog koda u stvarnom vremenu radi provjere usklađenosti, rizika i pojačanja najboljih praksi. Exakat dobio više od 450 analizatora posvećen PHP-u. Postoje analizatori specifični za okvir poput WordPress, CakePHP, Zend, itd.

Ako imate svoj PHP aplikacijski kôd u GitHub-u, tada možete koristiti njihov javni analizator, a drugo možete odabrati za preuzimanje ili korištenje interneta temeljenog na oblaku.

Uz pomoć Exakat-a možete integrirati vječnu sigurnost u svoju aplikaciju i sljedeće.

  • Automatski pregled koda automatiziran je s više od 100 pravila
  • Usklađenost spremna
  • Automatizirajte dokumentaciju za svoj kod
  • Lako je premještanje PHP-a 7

Uz robusno izvještavanje, možete dati prioritet sanaciji.

PHPStan

PHPStan fantastičan je alat za pronalaženje bugova dok pišete kod. Ne morate ništa pokrenuti.

Možete isprobati internetsku verziju ovdje.

PHPStan zahtijeva 7.1 ili stariju verziju i kompozitor da biste ga koristili. No, može otkriti bugove iz starije verzije.

psalm

Izgrađen na vrhu PHP Parsera, psalm dobro je pronaći pogreške i pomoći u održavanju dosljednosti radi bolje i sigurnije primjene.

Progpilot

Progpilot statički analizator omogućuje vam određivanje vrste analize poput GET, POST, COOKIE, SHELL_EXEC, itd. Trenutno podržava suiteCRM i CodeIgniter okvir.

PHP Lovac ranjivosti

Fuzzer za traženje ranjivosti pomoću statičke i dinamičke analize. Ovaj Lovac sposoban je loviti sljedeće.

  • Skripta na više mjesta
  • SQL ubrizgavanje
  • Samovoljno čitanje datoteke i izvršavanje naredbi
  • Uključivanje lokalne datoteke
  • Potpuno otkrivanje staza

Skeniranje se vrši u tri faze – inicijalizacija, skeniranje i neinicijalizacija

Gramžljivac

Gramžljivac, alat temeljen na pitonu za provođenje hibridne analize na PHP-baziranom programu pomoću PHP-SAT. Grabber je dostupan i na Kali Linux.

Symfony

Nadzor sigurnosti od strane Symfony radi s bilo kojim PHP projektom koristeći kompozitor. To je PHP baza podataka o sigurnosnim savjetnicima za poznate ranjivosti. Možete koristiti PHP-CLI, Symfony-CLI ili web-mjesto da biste provjerili composer.lock za sve poznate probleme s knjižnicama koje koristite u projektu.

Symfony nudi i uslugu sigurnosne obavijesti. To znači da možete prenijeti svoju datoteku composer.lock, a kad god se u budućnosti koristi bilo koja rabljena knjižnica, bit ćete obaviješteni.

Zaključak

Nadam se da ćete pomoću gore navedenih alata učiniti PHP aplikacije sigurnijima. Svi nabrojani alati usredotočeni su na analizu izvornog koda, a ako vam treba više, provjerite sigurnosni skener otvorenog koda.

Nakon što je vaša aplikacija spremna, nemojte zaboraviti dodati WAF temeljen na oblaku za neprekidnu sigurnost od rubne mreže.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map