10 millor escàner de seguretat de codi de PHP per trobar vulnerabilitats

Cerqueu el risc de seguretat i la qualitat del codi a l’aplicació PHP.


PHP regula el web, amb un entorn 80% de la quota de mercat. És a tot arreu: WordPress, Joomla, Lavarel, Drupal, etc..

El nucli de PHP és segur, però n’hi ha molt més, que podríeu fer servir i que podrien ser vulnerables. Després de desenvolupar un lloc web o una aplicació web complexa, la majoria dels desenvolupadors i propietaris de llocs web se centren en la funcionalitat, el disseny, el SEO i obliden el component essencial. seguretat.

Com a bona pràctica, heu de considerar realitzar una exploració de seguretat contra la vostra aplicació abans de viure en directe. Això s’aplica a qualsevol lloc, petit o gran. Hi ha algunes eines per ajudar-vos en això.

PMF

Cercador de programari PHP (PMF) és una solució que s’allotja a si mateix per ajudar-vos a trobar possibles codis maliciosos als fitxers. Se sap que detecta dodgy, codificadors, obfuscators, codi de petxines web.

El PMF aprofita YARA, per la qual cosa necessiteu això com a requisit previ per executar la prova.

RIPS

RIPS és una de les populars eines d’anàlisi de codi estàtic que s’han d’integrar a través del cicle de vida del desenvolupament per trobar problemes de seguretat en temps real. Podeu classificar la troballa segons la conformitat i la norma de la indústria per prioritzar les solucions.

  • OWASP Top 10
  • SANS Top 25
  • PCI-DSS
  • HIPPA

Vegem algunes de les funcions següents.

  • Identificar el risc basat en la gravetat i l’opció de definir pesos crítics, alts, mitjans i baixos.
  • Col·labora la investigació i prioritza el problema
  • Comprendre l’impacte de la vulnerabilitat
  • Avaluar el risc de seguretat entre un codi antic i un de nou
  • Creeu una llista de tasques pendents i assigneu tasques mitjançant el sistema de ticketing

RIPS permet exportar l’informe de resultats d’escaneig en diversos formats: PDF, CSV i altres mitjançant l’API RESTful.

Està disponible com a model autònom i SaaS. Per tant, tria què funciona per tu.

SonarPHP

SonarPHP de SonarSource utilitza tècniques de coincidència de patrons i flux de dades per trobar vulnerabilitats en els codis PHP. És un analitzador de codi estàtic i s’integra amb Eclipse, IntelliJ.

SonarSource comprova el codi amb més de 140 regles i també admet regles personalitzades escrites en Java.

Exakat

Un motor d’analitzador de codi estàtic en temps real per comprovar el compliment, el risc i reforçar les bones pràctiques. Exakat tinc més que 450 analitzadors dedicat a PHP. Hi ha analitzadors específics del marc com WordPress, CakePHP, Zend, etc.

Si teniu el codi d’aplicació PHP a GitHub, aleshores podeu utilitzar el seu analitzador públic que també pugueu escollir per descarregar o utilitzar en línia el núvol.

Amb l’ajuda d’Exakat, podeu integrar la seguretat eterna a l’aplicació i a les següents opcions.

  • Revisió de codis automatitzada amb més de 100 regles
  • El compliment està a punt
  • Automatitzar la documentació del codi
  • La migració PHP 7 és més senzilla

Amb l’informe sòlid, podeu prioritzar la reparació.

PHPStan

PHPStan és una eina fantàstica per trobar errors quan escriviu el codi. No és necessari executar res.

Podeu provar la versió en línia aquí.

PHPStan necessita la versió 7.1 o superior i el compositor per utilitzar-lo. Tot i això, és capaç de descobrir errors des d’una versió anterior.

Salm

Creat a sobre de PHP Parser, Salm és bo trobar errors i ajudar a mantenir la coherència per a una aplicació millor i segura.

Progpilot

Progpilot L’analitzador estàtic permet especificar el tipus d’anàlisi com GET, POST, COOKIE, SHELL_EXEC, etc. És compatible amb el framework SuiteCRM i CodeIgniter actualment..

Caçador de vulnerabilitat de PHP

Un difusor per cercar vulnerabilitats mitjançant anàlisis estàtiques i dinàmiques. Això caçador és capaç de caçar el següent.

  • Escriptura de llocs creuats
  • Injecció SQL
  • Execució de comandes i lectura de fitxers arbitrals
  • Inclusió de fitxers locals
  • Divulgació completa del camí

La exploració es realitza en tres fases: inicialització, exploració i desinicialització

Grabber

Grabber, una eina basada en pitons per realitzar anàlisis híbrids en una aplicació basada en PHP mitjançant PHP-SAT. Grabber també està disponible a Kali Linux.

Simfonia

Control de seguretat per Simfonia treballa amb qualsevol projecte PHP utilitzant el compositor. És una base de dades d’assessorament sobre seguretat de PHP per a vulnerabilitats conegudes. Podeu utilitzar PHP-CLI, Symfony-CLI, o basat en web per comprovar el problema de composer.lock per a qualsevol problema conegut amb les biblioteques que utilitzeu en el projecte.

Symfony també ofereix un servei de notificació de seguretat. Això vol dir que podeu pujar el fitxer composer.lock i, sempre que hi hagi biblioteques usades que siguin vulnerables, se us notificarà.

Conclusió

Espero que utilitzeu les eines anteriors, que les vostres aplicacions PHP siguin més segures. Totes les eines esmentades es centren en l’anàlisi del codi font i, si en necessiteu més, consulteu un escàner de seguretat de codi obert.

Un cop la vostra aplicació estigui preparada, no oblideu afegir un WAF basat en núvol per a una seguretat contínua a la xarxa de vora.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map