10 nejlepších bezpečnostních skenerů PHP kódu pro nalezení chyb zabezpečení

Najděte bezpečnostní riziko a kvalitu kódu ve své PHP aplikaci.


PHP ovládá web, s kolem 80% podílu na trhu. Je to všude – WordPress, Joomla, Lavarel, Drupal atd.

Jádro PHP je bezpečné, ale na tom je mnohem více, které byste mohli používat, a které by mohly být zranitelné. Po vývoji webu nebo komplexní webové aplikace se většina vývojářů a majitelů stránek zaměřuje na funkčnost, design, SEO a zapomíná na základní součást – bezpečnostní.

Jako nejlepší postup byste měli zvážit provedení bezpečnostní kontroly proti své aplikaci před uvedením do provozu. To platí pro všechny stránky – malé nebo velké. K tomu vám mohou pomoci některé nástroje.

PMF

PHP Malware Finder (PMF) je řešení hostované hostitelem, které vám pomůže najít možné škodlivé kódy v souborech. Je známo detekovat riskantní, kodéry, obfuscators, web shell code.

PMF využívá YARA, takže ji musíte jako předpoklad pro provedení testu.

RIPS

RIPS je jedním z populárních nástrojů pro analýzu statického kódu PHP, které mají být integrovány prostřednictvím životního cyklu vývoje, aby nalezly bezpečnostní problémy v reálném čase. Zjištění můžete rozdělit do kategorií podle shody s předpisy a standardu, abyste priority upřednostnili.

  • OWASP Top 10
  • SANS Top 25
  • PCI-DSS
  • HIPPA

Pojďme se podívat na některé z následujících funkcí.

  • Určete riziko na základě závažnosti a možnosti definovat váhy pro kritické, vysoké, střední a nízké.
  • Spolupracujte na vyšetřování a upřednostňujte problém
  • Pochopte dopad zranitelnosti
  • Vyhodnoťte bezpečnostní riziko mezi starým a novým kódem
  • Vytvořte seznam úkolů a přiřaďte úkoly pomocí systému prodeje jízdenek

RIPS umožňuje exportovat sestavu výsledků skenování do různých formátů – PDF, CSV a dalších pomocí RESTful API.

Je k dispozici jako model s vlastním hostitelem a model SaaS. Takže si vyberte, co pro vás funguje.

SonarPHP

SonarPHP od SonarSource používá porovnávání vzorů, techniky toku dat k nalezení zranitelnosti v PHP kódech. Je to statický analyzátor kódu a integruje se s Eclipse, IntelliJ.

SonarSource kontroluje kód proti více než 140 pravidlům a podporuje také vlastní pravidla psaná v Javě.

Exakat

Motor analyzátoru statických kódů v reálném čase, který kontroluje dodržování předpisů, rizika a posiluje osvědčené postupy. Exakat dostal víc než 450 analyzátorů věnované PHP. Existují rámcové specifické analyzátory jako WordPress, CakePHP, Zend atd.

Pokud máte v aplikaci GitHub svůj aplikační kód PHP, můžete použít jeho veřejný analyzátor, který si můžete stáhnout nebo použít cloudový online.

S pomocí Exakatu můžete integrovat věčné zabezpečení do vaší aplikace a následujících.

  • Kontrola kódu automatizovaná s více než 100 pravidly
  • Soulad připraven
  • Automatizujte dokumentaci k vašemu kódu
  • Snadná migrace PHP 7

Díky robustnímu vytváření přehledů můžete upřednostnit nápravu.

PHPStan

PHPStan je skvělý nástroj k nalezení chyb při psaní kódu. Nemusíte nic spouštět.

Můžete vyzkoušet online verzi tady.

PHPStan vyžaduje verzi 7.1 nebo vyšší a skladatele, aby ji mohl používat. Je však schopen objevit chyby ze starší verze.

Žalm

Postaveno na vrcholu PHP Parser, Žalm je dobré najít chyby a pomoci udržovat konzistenci pro lepší a bezpečnější aplikaci.

Progpilot

Progpilot statický analyzátor umožňuje určit typ analýzy, jako je GET, POST, COOKIE, SHELL_EXEC atd. V současné době podporuje framework suiteCRM a CodeIgniter framework.

Hunter pro zranitelnost PHP

Fuzzer hledající zranitelnosti pomocí statické a dynamické analýzy. Tento lovec je schopen lovit následující.

  • Cross-site skriptování
  • SQL injekce
  • Libovolné čtení a provádění příkazů
  • Lokální zahrnutí souboru
  • Úplné zveřejnění cesty

Skenování se provádí ve třech fázích – inicializace, skenování a neinicializace

Grabber

Grabber, nástroj založený na pythonu pro provádění hybridní analýzy v aplikaci založené na PHP pomocí PHP-SAT. Grabber je také k dispozici na Kali Linux.

Symfony

Sledování bezpečnosti pomocí Symfony pracuje s jakýmkoli projektem PHP pomocí skladatele. Jedná se o databázi informací o zabezpečení PHP známých zranitelností. Můžete použít PHP-CLI, Symfony-CLI nebo webový nástroj ke kontrole Composer.lock, pokud jde o nějaké známé problémy s knihovnami, které používáte v projektu.

Symfony také nabízí službu oznámení o zabezpečení. To znamená, že můžete nahrát svůj soubor Composer.lock. Kdykoli v budoucnu budou všechny použité knihovny, u kterých bude zjištěno, že jsou zranitelné, dostanete upozornění.

Závěr

Doufám, že pomocí výše uvedených nástrojů zvýšíte bezpečnost svých PHP aplikací. Všechny uvedené nástroje se zaměřují na analýzu zdrojového kódu. Pokud potřebujete více, podívejte se na bezpečnostní skener s otevřeným zdrojovým kódem.

Jakmile bude aplikace připravena, nezapomeňte přidat cloudový WAF pro nepřetržité zabezpečení z okrajové sítě.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector