10 סורק אבטחת קוד PHP הטוב ביותר למציאת פגיעויות

מצא סיכון אבטחה ואיכות קוד ביישום PHP שלך.


PHP שולט באינטרנט, עם סביב 80% מנתח השוק. זה בכל מקום – וורדפרס, ג’ומלה, לברל, דרופל וכו ‘.

ליבת PHP היא מאובטחת, אך יש עוד הרבה דברים נוספים עליהם אתה משתמש, וזה עשוי להיות פגיע. לאחר פיתוח אתר או יישום אינטרנט מורכב, מרבית המפתחים ובעלי האתרים מתמקדים בפונקציונליות, בעיצוב, SEO והם שוכחים את המרכיב החיוני – ביטחון.

כשיטה מומלצת, עליך לשקול לבצע סריקת אבטחה כנגד היישום שלך לפני שתעבור לחיות. זה חל על כל אתר – קטן או גדול. יש כמה כלים שיעזרו לך בכך.

PMF

PHP תוכנות זדוניות (PMF) הוא פתרון שמתארח בעצמו כדי לעזור לך למצוא קודים זדוניים אפשריים בקבצים. זה ידוע לזהות משתמטות, מקודדים, ערפלים, מעטפת רשת.

PMF ממנף את YARA, כך שאתה צריך את זה כתנאי הכרחי כדי לבצע את המבחן.

קרעים

קרעים הוא אחד מכלי ניתוח הנתונים הסטטיסטיים הפופולריים של PHP המשולבים במהלך מחזור החיים הפיתוח כדי למצוא בעיות אבטחה בזמן אמת. אתה יכול לקטלג את הממצא לפי תאימות בענף וסטנדרט כדי לתעדף את התיקונים.

  • OWASP Top 10
  • SANS Top 25
  • PCI-DSS
  • HIPPA

בואו נסתכל על כמה מהתכונות הבאות.

  • קבעו סיכון בהתבסס על חומרתה ואפשרות להגדרת משקולות עבור קריטי, גבוה, בינוני ונמוך.
  • שתף פעולה בחקירה ותעדוף את הנושא
  • הבן את השפעת הפגיעות
  • הערכת סיכון אבטחה בין קוד ישן לחדש
  • צור רשימת מטלות והקצה משימות באמצעות מערכת הכרטוס

RIPS מאפשרת לך לייצא דוחות תוצאות סריקה לפורמטים מרובים – PDF, CSV ואחרים באמצעות RESTful API.

זה זמין כמודל עצמי ומתאר SaaS. אז בחרו מה מתאים לכם.

SonarPHP

SonarPHP מאת SonarSource משתמש בהתאמת תבניות, בטכניקות זרימת נתונים כדי למצוא פגיעויות בקודי PHP. זהו מנתח קוד סטטי ומשתלב עם Eclipse, IntelliJ.

SonarSource בודק את הקוד כנגד יותר מ- 140 כללים, והוא תומך גם בכללים מותאמים אישית שנכתבו ב- Java.

אקסאקאט

מנוע מנתח קוד סטטי בזמן אמת לבדיקת תאימות, סיכון וחיזוק שיטות עבודה מומלצות. אקסאקאט יש יותר מ 450 מנתחים מוקדש ל- PHP. ישנם מנתחים ספציפיים למסגרת כמו וורדפרס, CakePHP, Zend וכו ‘.

אם יש לך את קוד היישום PHP שלך ב- GitHub, אתה יכול להשתמש במנתח הציבורי שלהם אחרת תוכל לבחור להוריד או להשתמש באינטרנט מבוסס ענן.

בעזרת Exakat תוכלו לשלב ביטחון נצחי ביישום שלכם ובדברים הבאים.

  • סקירת קוד אוטומטית עם יותר ממאה כללים
  • תאימות מוכנה
  • אוטומציה של תיעוד הקוד שלך
  • העברת PHP 7 הפכה קלה

באמצעות הדיווח החזק, באפשרותך לתעדף את התיקון.

PHPStan

PHPStan הוא כלי פנטסטי למצוא באגים בזמן שאתה כותב את הקוד. אתה לא צריך להריץ שום דבר.

אתה יכול לנסות את הגרסה המקוונת כאן.

PHPStan דורש גרסה 7.1 ומעלה ומלחין להשתמש בה. עם זאת, הוא מסוגל לגלות באגים מגירסה ישנה יותר.

תהילים

נבנה על גבי PHP Parser, תהילים טוב למצוא שגיאות ולעזור לשמור על עקביות ליישום טוב ובטוח יותר.

פרוגפילוט

פרוגפילוט מנתח סטטי מאפשר לך לציין את סוג הניתוח כמו GET, POST, COOKIE, SHELL_EXEC וכו ‘. הוא תומך באותו מסגרת SuiteCRM ו- CodeIgniter כרגע.

צייד פגיעות PHP

Fuzzer לחפש פגיעויות באמצעות ניתוח סטטי ודינמי. זה צייד מסוגל לצוד את הדברים הבאים.

  • סקריפטים חוצה אתרים
  • הזרקת SQL
  • קריאה וקובץ שרירותי של קבצים
  • הכללת קבצים מקומית
  • גילוי נתיב מלא

הסריקה נעשית בשלושה שלבים – אתחול, סריקה וביטול אתחול

חוטף

חוטף, כלי מבוסס פיתון לביצוע ניתוח היברידי ביישום מבוסס PHP באמצעות PHP-SAT. ניתן להשיג Grabber גם ב- קאלי לינוקס.

סימפוניה

ניטור אבטחה מאת סימפוניה עובד עם כל פרויקט PHP באמצעות המלחין. זהו מסד נתונים מייעץ בנושא אבטחה של PHP לגבי פגיעויות ידועות. אתה יכול להשתמש ב- PHP-CLI, Symfony-CLI, או מבוסס אינטרנט כדי לבדוק את composer.lock בכל בעיה ידועה בספריות בהן אתה משתמש בפרויקט..

Symfony מציעה גם שירות התראות אבטחה. זה אומר שאתה יכול להעלות את קובץ composer.lock שלך, ובכל עת בעתיד כל ספריות משומשות שנמצאות פגיעות, תקבל הודעה..

סיכום

אני מקווה על ידי שימוש בכלים לעיל, אתה הופך את יישומי PHP שלך לבטוחים יותר. כל הכלים המפורטים מתמקדים בניתוח קוד המקור, ואם אתה זקוק ליותר, בדוק את סורק האבטחה בקוד פתוח.

לאחר שהיישום שלך מוכן, אל תשכח להוסיף WAF מבוסס ענן לאבטחה רציפה מרשת הקצה.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map