10 Meilleur scanner de sécurité de code PHP pour trouver des vulnérabilités

Trouvez les risques de sécurité et la qualité du code dans votre application PHP.


PHP gouverne le web, avec environ 80% de part de marché. Il est partout – WordPress, Joomla, Lavarel, Drupal, etc..

Le noyau PHP est sécurisé, mais il y a beaucoup plus en plus, que vous utilisez peut-être et qui peuvent être vulnérables. Après le développement d’un site ou d’une application Web complexe, la plupart des développeurs et des propriétaires de sites se concentrent sur la fonctionnalité, la conception, le référencement et oublient le composant essentiel – Sécurité.

En tant que meilleure pratique, vous devez envisager d’effectuer une analyse de sécurité sur votre application avant de la mettre en ligne. Cela s’applique à n’importe quel site – petit ou grand. Il existe des outils pour vous aider.

PMF

PHP Malware Finder (PMF) est une solution auto-hébergée pour vous aider à trouver d’éventuels codes malveillants dans les fichiers. Il est connu pour détecter les douteux, les encodeurs, les obscurcisseurs, le shellcode web.

PMF tire parti de YARA, vous en avez donc besoin comme condition préalable pour exécuter le test.

RIPS

RIPS est l’un des outils d’analyse de code statique PHP les plus populaires à intégrer tout au long du cycle de développement pour détecter les problèmes de sécurité en temps réel. Vous pouvez classer les résultats par conformité et norme de l’industrie pour hiérarchiser les correctifs.

  • OWASP Top 10
  • SANS Top 25
  • PCI-DSS
  • HIPPA

Voyons quelques-unes des fonctionnalités suivantes.

  • Identifier le risque en fonction de la gravité et de la possibilité de définir des pondérations pour les niveaux critique, élevé, moyen et faible.
  • Collaborez à l’enquête et hiérarchisez le problème
  • Comprendre l’impact de la vulnérabilité
  • Évaluer le risque de sécurité entre l’ancien et le nouveau code
  • Créer une liste de tâches et attribuer des tâches à l’aide du système de billetterie

RIPS vous permet d’exporter le rapport des résultats de l’analyse dans plusieurs formats – PDF, CSV et autres en utilisant l’API RESTful.

Il est disponible en tant que modèle auto-hébergé et SaaS. Alors choisissez ce qui vous convient.

SonarPHP

SonarPHP by SonarSource utilise des techniques de correspondance de modèles et de flux de données pour trouver des vulnérabilités dans les codes PHP. Il s’agit d’un analyseur de code statique et s’intègre à Eclipse, IntelliJ.

SonarSource vérifie le code par rapport à plus de 140 règles et prend également en charge les règles personnalisées écrites en Java.

Exakat

Un moteur d’analyseur de code statique en temps réel pour vérifier la conformité, les risques et renforcer les meilleures pratiques. Exakat a plus que 450 analyseurs dédié à PHP. Il existe des analyseurs spécifiques au framework comme WordPress, CakePHP, Zend, etc..

Si vous avez votre code d’application PHP dans GitHub, vous pouvez utiliser leur analyseur public, sinon vous pouvez choisir de télécharger ou d’utiliser le cloud en ligne.

Avec l’aide d’Exakat, vous pouvez intégrer la sécurité éternelle dans votre application et les éléments suivants.

  • Revue de code automatisée avec plus de 100 règles
  • Prêt pour la conformité
  • Automatisez la documentation de votre code
  • La migration de PHP 7 simplifiée

Avec le reporting robuste, vous pouvez prioriser la correction.

PHPStan

PHPStan est un outil fantastique pour trouver des bogues lorsque vous écrivez le code. Vous n’avez pas besoin d’exécuter quoi que ce soit.

Vous pouvez essayer la version en ligne ici.

PHPStan nécessite une version 7.1 ou supérieure et un compositeur pour l’utiliser. Cependant, il est capable de découvrir des bogues d’une ancienne version.

Psaume

Construit sur PHP Parser, Psaume est bon pour trouver des erreurs et aider à maintenir la cohérence pour une application meilleure et sécurisée.

Progpilot

Progpilot l’analyseur statique vous permet de spécifier le type d’analyse comme GET, POST, COOKIE, SHELL_EXEC, etc. Il prend en charge le framework suiteCRM et CodeIgniter pour le moment.

Chasseur de vulnérabilités PHP

Un flou pour rechercher des vulnérabilités à l’aide d’une analyse statique et dynamique. Cette chasseur est capable de chasser les éléments suivants.

  • Scriptage intersite
  • Injection SQL
  • Lecture arbitraire de fichiers et exécution de commandes
  • Inclusion de fichiers locaux
  • Divulgation du chemin complet

Le scan se fait en trois phases – initialisation, scan et désinitialisation

Agrippeur

Agrippeur, un outil basé sur python pour effectuer une analyse hybride sur une application basée sur PHP en utilisant PHP-SAT. Grabber est également disponible sur Kali Linux.

Symfony

Surveillance de la sécurité par Symfony fonctionne avec tout projet PHP utilisant le compositeur. Il s’agit d’une base de données d’avis de sécurité PHP pour les vulnérabilités connues. Vous pouvez utiliser PHP-CLI, Symfony-CLI ou sur le Web pour vérifier composer.lock pour tout problème connu avec les bibliothèques que vous utilisez dans le projet.

Symfony propose également un service de notification de sécurité. Cela signifie que vous pouvez télécharger votre fichier composer.lock, et chaque fois qu’à l’avenir des bibliothèques utilisées jugées vulnérables, vous serez averti.

Conclusion

J’espère qu’en utilisant les outils ci-dessus, vous sécuriserez vos applications PHP. Tous les outils répertoriés se concentrent sur l’analyse du code source, et si vous en avez besoin de plus, consultez un scanner de sécurité open-source.

Une fois que votre application est prête, n’oubliez pas d’ajouter un WAF basé sur le cloud pour une sécurité continue à partir du réseau de périphérie.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map