10 Bester PHP-Code-Sicherheitsscanner zum Auffinden von Sicherheitslücken

Finden Sie Sicherheitsrisiko und Codequalität in Ihrer PHP-Anwendung.


PHP regiert das Web mit herum 80% des Marktanteils. Es ist überall – WordPress, Joomla, Lavarel, Drupal usw..

Der PHP-Kern ist sicher, aber es gibt noch viel mehr, das Sie möglicherweise verwenden und das möglicherweise anfällig ist. Nach der Entwicklung einer Website oder einer komplexen Webanwendung konzentrieren sich die meisten Entwickler und Websitebesitzer auf Funktionalität, Design und SEO und vergessen die wesentliche Komponente – Sicherheit.

Als bewährte Methode sollten Sie einen Sicherheitsscan für Ihre Anwendung durchführen, bevor Sie live gehen. Dies gilt für jede Site – klein oder groß. Es gibt einige Tools, die Ihnen dabei helfen.

PMF

PHP Malware Finder (PMF) ist eine selbst gehostete Lösung, mit der Sie mögliche Schadcodes in den Dateien finden können. Es ist bekannt, zwielichtige, Encoder, Verschleierer, Web-Shellcode zu erkennen.

PMF nutzt YARA, daher benötigen Sie dies als Voraussetzung für die Durchführung des Tests.

RIPPS

RIPPS ist eines der beliebtesten Tools zur Analyse von statischem PHP-Code, das während des gesamten Entwicklungslebenszyklus integriert wird, um Sicherheitsprobleme in Echtzeit zu finden. Sie können den Befund nach Branchenkonformität und Standard kategorisieren, um die Korrekturen zu priorisieren.

  • OWASP Top 10
  • SANS Top 25
  • PCI-DSS
  • HIPPA

Schauen wir uns einige der folgenden Funktionen an.

  • Bestimmen Sie das Risiko basierend auf dem Schweregrad und der Option, Gewichte für kritisch, hoch, mittel und niedrig zu definieren.
  • Arbeiten Sie an der Untersuchung mit und priorisieren Sie das Problem
  • Verstehen Sie die Auswirkungen der Sicherheitsanfälligkeit
  • Bewerten Sie das Sicherheitsrisiko zwischen altem und neuem Code
  • Erstellen Sie eine Aufgabenliste und weisen Sie Aufgaben mithilfe des Ticketsystems zu

Mit RIPS können Sie Scan-Ergebnisberichte mithilfe der RESTful-API in mehrere Formate exportieren – PDF, CSV und andere.

Es ist als selbst gehostetes und SaaS-Modell verfügbar. Wählen Sie also, was für Sie funktioniert.

SonarPHP

SonarPHP von SonarSource verwendet Pattern Matching und Datenflusstechniken, um Schwachstellen in PHP-Codes zu finden. Es ist ein statischer Code-Analysator und lässt sich in Eclipse, IntelliJ, integrieren.

SonarSource vergleicht den Code mit mehr als 140 Regeln und unterstützt auch benutzerdefinierte Regeln, die in Java geschrieben wurden.

Exakat

Eine statische Echtzeit-Code-Analysator-Engine zur Überprüfung von Compliance, Risiko und Best Practices. Exakat habe mehr als 450 Analysatoren PHP gewidmet. Es gibt Framework-spezifische Analysatoren wie WordPress, CakePHP, Zend usw..

Wenn Sie Ihren PHP-Anwendungscode in GitHub haben, können Sie den öffentlichen Analysator verwenden. Andernfalls können Sie den Cloud-basierten Online-Code herunterladen oder verwenden.

Mit Hilfe von Exakat können Sie ewige Sicherheit in Ihre Anwendung integrieren und Folgendes.

  • Codeüberprüfung automatisiert mit mehr als 100 Regeln
  • Compliance bereit
  • Automatisieren Sie Ihre Codedokumentation
  • PHP 7 Migration leicht gemacht

Mit der zuverlässigen Berichterstellung können Sie die Korrektur priorisieren.

PHPStan

PHPStan ist ein fantastisches Tool, um Fehler beim Schreiben des Codes zu finden. Sie müssen nichts ausführen.

Sie können die Online-Version ausprobieren Hier.

PHPStan benötigt eine Version 7.1 oder höher und einen Composer, um es zu verwenden. Es ist jedoch in der Lage, Fehler aus einer älteren Version zu entdecken.

Psalm

Aufbauend auf PHP Parser, Psalm ist gut, um Fehler zu finden und die Konsistenz für eine bessere und sichere Anwendung aufrechtzuerhalten.

Progpilot

Progpilot Mit dem statischen Analysator können Sie den Analysetyp wie GET, POST, COOKIE, SHELL_EXEC usw. angeben. Derzeit werden das SuiteCRM- und das CodeIgniter-Framework unterstützt.

PHP Vulnerability Hunter

Ein Fuzzer, um mithilfe statischer und dynamischer Analysen nach Schwachstellen zu suchen. Diese Jäger ist in der Lage, Folgendes zu jagen.

  • Cross-Site-Scripting
  • SQL-Injektion
  • Beliebige Datei lesen und Befehl ausführen
  • Aufnahme lokaler Dateien
  • Vollständige Offenlegung des Pfades

Der Scan erfolgt in drei Phasen – Initialisierung, Scan und Nichtinitialisierung

Grabber

Grabber, Ein Python-basiertes Tool zur Durchführung von Hybridanalysen für eine PHP-basierte Anwendung mit PHP-SAT. Grabber ist auch auf verfügbar Kali Linux.

Symfony

Sicherheitsüberwachung durch Symfony funktioniert mit jedem PHP-Projekt mit dem Composer. Es ist eine PHP-Sicherheitsberatungsdatenbank für bekannte Sicherheitslücken. Sie können entweder PHP-CLI, Symfony-CLI oder webbasiert verwenden, um composer.lock auf bekannte Probleme mit den Bibliotheken zu überprüfen, die Sie im Projekt verwenden.

Symfony bietet auch einen Sicherheitsbenachrichtigungsdienst an. Das bedeutet, dass Sie Ihre Datei composer.lock hochladen können. Wenn in Zukunft verwendete Bibliotheken als anfällig eingestuft werden, werden Sie benachrichtigt.

Fazit

Ich hoffe, dass Sie mit den oben genannten Tools Ihre PHP-Anwendungen sicherer machen. Alle aufgeführten Tools konzentrieren sich auf die Analyse von Quellcode. Wenn Sie mehr benötigen, schauen Sie sich einen Open-Source-Sicherheitsscanner an.

Wenn Ihre Anwendung fertig ist, vergessen Sie nicht, eine Cloud-basierte WAF hinzuzufügen, um die Sicherheit des Edge-Netzwerks zu gewährleisten.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map