srcmini本文概述
在你的PHP应用程序中查找安全风险和代码质量。
PHP统治着网络, 约有80%的市场份额。它无处不在– WordPress, Joomla, Lavarel, Drupal等。
PHP核心是安全的, 但除此之外, 你可能还在使用许多其他功能, 这可能很容易受到攻击。在开发了站点或复杂的Web应用程序之后, 大多数开发人员和站点所有者都将精力集中在功能, 设计, SEO上, 而他们却忘记了基本组成部分-安全性。
最佳做法是, 在上线之前, 应考虑对应用程序执行安全扫描。这适用于任何站点, 无论大小。有一些工具可以帮助你。
PMF
PHP Malware Finder(PMF)是一种自托管的解决方案, 可帮助你在文件中查找可能的恶意代码。众所周知, 可以检测躲避, 编码器, 混淆器, Web Shellcode。
PMF利用YARA, 因此你需要将其作为运行测试的先决条件。
RIPS
RIPS是流行的PHP静态代码分析工具之一, 可以在开发生命周期中进行集成以实时发现安全问题。你可以按照行业合规性和标准对调查结果进行分类, 以对修复程序进行优先级排序。
- OWASP前10名
- 没有前25名
- PCI-DSS
- PARTY
让我们看一下以下一些功能。
- 根据严重性和选项来确定风险, 以定义严重, 高, 中和低的权重。
- 合作调查并确定问题的优先级
- 了解漏洞的影响
- 评估新旧代码之间的安全风险
- 使用票务系统创建待办事项清单并分配任务
使用RIPS, 你可以使用RESTful API将扫描结果报告导出为多种格式-PDF, CSV和其他格式。
它可以作为自托管和SaaS模型提供。因此, 选择最适合你的产品。
SonarPHP
SonarSource的SonarPHP使用模式匹配, 数据流技术来查找PHP代码中的漏洞。它是一个静态代码分析器, 并与Eclipse, IntelliJ集成。
SonarSource根据140多个规则检查代码, 它还支持用Java编写的自定义规则。
Exakat
实时静态代码分析器引擎, 用于检查合规性, 风险并加强最佳实践。 Exakat有450多个专用于PHP的分析器。有特定于框架的分析器, 如WordPress, CakePHP, Zend等。
如果你的PHP应用程序代码在GitHub中, 则可以使用其公共分析器, 否则你可以选择下载或在线使用基于云的方法。
在Exakat的帮助下, 你可以将永恒的安全性集成到你的应用程序及以下应用程序中。
- 使用100多个规则自动进行代码审查
- 准备合规
- 自动化你的代码文档
- PHP 7迁移变得容易
使用可靠的报告, 你可以确定修复的优先级。
PHPStan
PHPStan是一个出色的工具, 可以在编写代码时发现错误。你无需执行任何操作。
你可以在此处尝试在线版本。
PHPStan需要7.1或更高版本并需要作曲家才能使用它。但是, 它能够发现较旧版本的错误。
Psalm
Psalm建立在PHP Parser的基础上, 可以很好地发现错误并有助于保持一致性, 从而获得更好, 更安全的应用程序。
Progpilot
Progpilot静态分析器允许你指定分析类型, 例如GET, POST, COOKIE, SHELL_EXEC等。它目前支持suiteCRM和CodeIgniter框架。
PHP Vulnerability Hunter
一个模糊器, 使用静态和动态分析来查找漏洞。该猎人有能力猎捕以下物品。
- 跨站脚本
- SQL注入
- 任意文件读取和命令执行
- 本地文件包含
- 全路径公开
扫描分为三个阶段-初始化, 扫描和未初始化
Grabber
Grabber, 一个基于python的工具, 可使用PHP-SAT在基于PHP的应用程序上执行混合分析。 Grabber也可在Kali Linux上使用。
Symfony
Symfony的Security Monitoring通过该作曲器可与任何PHP项目一起使用。它是用于已知漏洞的PHP安全公告数据库。你可以使用PHP-CLI, Symfony-CLI或基于Web的方法来检查composer.lock中项目中正在使用的库的任何已知问题。
Symfony还提供安全通知服务。这意味着你可以上载composer.lock文件, 并且以后每当发现任何使用过的易受攻击的库时, 你都会收到通知。
总结
我希望通过使用上述工具, 可以使你的PHP应用程序更安全。列出的所有工具都专注于分析源代码, 如果需要更多工具, 请签出开源安全扫描程序。
应用程序准备就绪后, 别忘了添加基于云的WAF, 以从边缘网络获得持续的安全性。
评论前必须登录!
注册