Czy jest jakiś łatwy w użyciu program do skanowania zabezpieczeń PHP?Skaner bezpieczeństwa PHP
Odpowiedz
Należy pamiętać, że żaden automatyczny skaner bezpieczeństwa nie będzie w stanie wykryć wszystkich luk w zabezpieczeniach kodu. Najlepszym sposobem ochrony kodu jest poznanie sposobów pisania bezpiecznego oprogramowania i dokładnych analiz kodu.
Uwaga, nie mówię, że NIE używam skanera. Mówię, że używaj skanera jako drugiej linii obrony. Nie należy polegać na tym, aby nadrobić złych praktyk kodowania ...
Zgadzam się z Państwem. Ale zawsze są hakerzy, którzy są mądrzejsi od nas! – TheNone
No cóż, hakerzy (te mądrzejsze, o których wspominasz przynajmniej) prawdopodobnie użyliby czegoś, co napisali, by skanować w poszukiwaniu luk, które sprawdzają, co nie są typowe (lub mają inne/lepsze/nowsze metody). Nawet komercyjny skaner może cię tam nie uratować ... – ircmaxell
@ircmaxell, Dzięki za radę. Próbuję napisać kod bezpieczny, ale nie chcę być wystawiony na 14 letnie dzieci :) BTW Nie mogę zapłacić 1445 $ za to! Spróbuję połączyć się z mcandre. – TheNone
Tak, bardzo dobry:
Acunetix WVS automatycznie sprawdza aplikacji internetowych dla SQL Injection, XSS & innych usterek internetowych.
Tylko 14-dniowa wersja próbna – vladkras
Stary temat, ale zauważam, nikt nie wspomniał jeszcze RIPS Scanner (patrz również powiązanego project page on Sourceforge)
„RIPS jest darmowy statyczny analizator kodu źródłowego dla luk w skryptach PHP "
Jeszcze go nie wypróbowałem (tylko ściągam teraz), ale brzmi to tak, jakby tego rodzaju pytanie dotyczyło. I to nic nie kosztuje (na licencji GPL). (Warto zauważyć, że po raz pierwszy wydany w czerwcu 2010 roku, prawie w tym samym czasie to pytano)
Sourceforge rzucił też się kilka innych projektów:
- http://sourceforge.net/projects/securityscanner/
- http://sourceforge.net/projects/phpsecaudit/
- http://sourceforge.net/projects/yasca/
Wygląda na to, że RIPS jest o wiele lepiej wykorzystywany niż jakikolwiek inny, ale może warto spróbować g wszystkich, tylko po to, aby zobaczyć.
nadzieję, że pomoże
Wypróbuj poniższe skanery do wykrywania potencjalnie złośliwych plików PHP:
-
Skaner PHP napisany w Pythonie do identyfikacji backdoorów PHP i szkodliwego kodu php. To narzędzie służy głównie ponownemu użyciu wymienionych poniżej narzędzi. Aby użyć tego narzędzia, musisz zainstalować yara library dla Pythona ze źródła.
-
Czy to najlepiej wykrywa kod obfuscated/podejrzany, a także pliki używające funkcji PHP często używanych w malware/webshells. Wykrywanie odbywa się poprzez przeszukanie systemu plików i testowanie plików zgodnie z zestawem reguł YARA.
-
Skanuje bieżący katalog roboczy i wyświetla wyniki z wynikiem większym niż podana wartość. Wydany na podstawie licencji MIT.
Aby uzyskać więcej narzędzi, sprawdź: Malware scanner for websites code.
- 1. PHP - MD5, SHA, Hashing bezpieczeństwa
- 2. funkcja bezpieczeństwa i poczta() w php
- 3. Wada bezpieczeństwa "Remember Me" w języku PHP?
- 4. Kursy szkoleniowe (lub certyfikacja) dla bezpieczeństwa PHP
- 5. Potencjalne problemy bezpieczeństwa z ZipArchive PHP
- 6. Jak działa skaner? Haskell
- 7. Skaner ZBar QR tylko
- 8. Skaner QR wewnątrz Fragmentu
- 9. Jak napisać funkcjonalny plik „skaner”
- 10. Skaner nigdy nie jest zamknięty
- 11. Zamknij Skaner bez zamykania System.in
- 12. Skaner nie skanuje mojego wejścia
- 13. Dobry frameworkiem silnego bezpieczeństwa
- 14. Czy wyświetlanie komunikatu wyjątku PHP stanowiłoby zagrożenie dla bezpieczeństwa?
- 15. Nginx "niepoprawna liczba argumentów w dyrektywie" try_files "..." dla bezpieczeństwa PHP
- 16. Jak zakończyć skaner po zakończeniu wprowadzania?
- 17. Wykorzystanie ogranicznika, dlaczego skaner nie zwraca?
- 18. Przenoszenie uczestnika iOS 7 AVCaptureMetadataOutput (skaner QRCode)
- 19. Testowanie bezpieczeństwa Java
- 20. Konfiguracja kwestią bezpieczeństwa sprężyny
- 21. Polityka bezpieczeństwa treści Jenkins
- 22. Polityka bezpieczeństwa Cordova
- 23. Elastic Beanstalk łatki bezpieczeństwa
- 24. Standardy bezpieczeństwa oprogramowania
- 25. Problem bezpieczeństwa tokena Trello?
- 26. Błąd bezpieczeństwa z iframe
- 27. Problemy bezpieczeństwa Socket.io
- 28. MSVC errno bezpieczeństwa wątku
- 29. CakePHP Testowanie kontrolera z elementem bezpieczeństwa
- 30. escapeshellarg() został wyłączony ze względów bezpieczeństwa
Skaner bezpieczeństwa PHP: http://sourceforge.net/projects/securityscanner/ – mcandre
[Konsorcjum bezpieczeństwa PHP] (http://phpsec.org/): założony w styczniu 2005 r. Konsorcjum PHP Security (PHPSC) jest międzynarodowa grupa ekspertów PHP zajmująca się promowaniem bezpiecznych praktyk programistycznych w społeczności PHP. Członkowie PHPSC starają się edukować programistów PHP na temat bezpieczeństwa za pomocą różnych zasobów, w tym dokumentacji, narzędzi i standardów ... – jww