10 El mejor escáner de seguridad de código PHP para encontrar vulnerabilidades

Encuentre riesgos de seguridad y calidad de código en su aplicación PHP.


PHP gobierna la web, con alrededor 80% de la cuota de mercado. Está en todas partes: WordPress, Joomla, Lavarel, Drupal, etc..

El núcleo de PHP es seguro, pero hay mucho más por encima de esto, que podría estar usando y que podría ser vulnerable. Después del desarrollo de un sitio o aplicación web compleja, la mayoría de los desarrolladores y propietarios de sitios se centran en la funcionalidad, el diseño, el SEO y olvidan el componente esencial: seguridad.

Como práctica recomendada, debe considerar realizar un análisis de seguridad contra su aplicación antes de lanzarla. Esto se aplica a cualquier sitio, pequeño o grande. Hay algunas herramientas para ayudarte con eso.

PMF

PHP Malware Finder (PMF) es una solución autohospedada para ayudarlo a encontrar posibles códigos maliciosos en los archivos. Se sabe que detecta codificadores, codificadores, ofuscadores, shellcode web.

PMF aprovecha YARA, por lo que necesita eso como requisito previo para ejecutar la prueba.

RIPS

RIPS es una de las herramientas populares de análisis de código estático de PHP que se integrará a través del ciclo de vida de desarrollo para encontrar problemas de seguridad en tiempo real. Puede clasificar el hallazgo según el cumplimiento de la industria y el estándar para priorizar las soluciones.

  • OWASP Top 10
  • SANS Top 25
  • PCI-DSS
  • HIPPA

Echemos un vistazo a algunas de las siguientes funciones.

  • Identifique el riesgo en función de la gravedad y la opción de definir pesos para crítico, alto, medio y bajo..
  • Colaborar en la investigación y priorizar el problema.
  • Comprender el impacto de la vulnerabilidad
  • Evaluar el riesgo de seguridad entre el código antiguo y el nuevo.
  • Cree una lista de tareas y asigne tareas utilizando el sistema de tickets

RIPS le permite exportar informes de resultados de escaneo a múltiples formatos: PDF, CSV y otros mediante el uso de RESTful API.

Está disponible como modelo autohospedado y SaaS. Así que elige lo que funciona para ti.

SonarPHP

SonarPHP by SonarSource utiliza técnicas de coincidencia de patrones y flujo de datos para encontrar vulnerabilidades en los códigos PHP. Es un analizador de código estático y se integra con Eclipse, IntelliJ.

SonarSource comprueba el código con más de 140 reglas y también admite reglas personalizadas escritas en Java.

Exakat

Un motor analizador de código estático en tiempo real para verificar el cumplimiento, el riesgo y reforzar las mejores prácticas. Exakat tengo más de 450 analizadores dedicado a PHP. Hay analizadores específicos del marco como WordPress, CakePHP, Zend, etc..

Si tiene el código de su aplicación PHP en GitHub, puede usar su analizador público; de lo contrario, puede elegir descargar o usar el en línea basado en la nube.

Con la ayuda de Exakat, puede integrar la seguridad eterna en su aplicación y lo siguiente.

  • Revisión de código automatizada con más de 100 reglas
  • Cumplimiento listo
  • Automatiza la documentación de tu código
  • La migración de PHP 7 es fácil

Con los informes sólidos, puede priorizar la corrección.

PHPStan

PHPStan es una herramienta fantástica para encontrar errores mientras escribes el código. No necesitas ejecutar nada.

Puedes probar la versión en línea aquí.

PHPStan requiere una versión 7.1 o superior y un compositor para usarlo. Sin embargo, es capaz de descubrir errores de una versión anterior.

Salmo

Construido sobre PHP Parser, Salmo es bueno encontrar errores y ayudar a mantener la coherencia para una aplicación mejor y segura.

Progpilot

Progpilot El analizador estático le permite especificar el tipo de análisis como GET, POST, COOKIE, SHELL_EXEC, etc. Es compatible con el framework suiteCRM y CodeIgniter en este momento..

Cazador de vulnerabilidades de PHP

Un fuzzer para buscar vulnerabilidades mediante análisis estático y dinámico. Esta cazador es capaz de cazar lo siguiente.

  • Scripting entre sitios
  • inyección SQL
  • Lectura de archivos arbitrarios y ejecución de comandos
  • Inclusión de archivos locales
  • Divulgación completa de la ruta

El escaneo se realiza en tres fases: inicialización, escaneo y no inicialización

Ladrón

Ladrón, Una herramienta basada en Python para realizar análisis híbridos en una aplicación basada en PHP usando PHP-SAT. Grabber también está disponible en Kali Linux.

Symfony

Monitoreo de seguridad por Symfony funciona con cualquier proyecto PHP usando el compositor. Es una base de datos de avisos de seguridad de PHP para vulnerabilidades conocidas. Puede usar PHP-CLI, Symfony-CLI o basado en la web para verificar composer.lock en busca de problemas conocidos con las bibliotecas que está utilizando en el proyecto.

Symfony también ofrece un servicio de notificación de seguridad. Eso significa que puede cargar su archivo composer.lock, y siempre que en el futuro cualquier biblioteca utilizada sea vulnerable, recibirá una notificación.

Conclusión

Espero que al usar las herramientas anteriores, haga que sus aplicaciones PHP sean más seguras. Todas las herramientas enumeradas se centran en analizar el código fuente, y si necesita más, consulte un escáner de seguridad de código abierto.

Una vez que su aplicación esté lista, no olvide agregar un WAF basado en la nube para una seguridad continua desde la red perimetral.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map