Quali sono alcuni buoni strumenti gratuiti per eseguire controlli di sicurezza automatizzati per il codice PHP?

Ho cercato un po 'di tempo e sono venuto a mancare. Il più promettente che ho trovato è stato Spike PHP, che sembra non funzionare più. Sto cercando di analizzare il mio codice per i potenziali rischi di SQL Injection, XSS, ecc. Ho passato la maggior parte del mio codice manualmente, ma con poche centinaia di migliaia di righe di codice, sono sicuro che mi sono perso le cose. Se possibile, ci sono strumenti che possono essere scaricati e analizzati sul mio computer locale anziché installarli sul server live (non è un requisito se non lo sono)?

    
posta James Simpson 12.03.2011 - 23:31
fonte

6 risposte

C'è uno strumento di analisi del codice statico per PHP chiamato RIPS . Non ho ancora avuto la possibilità di usarlo, ma sembra che sia nel giusto tipo di area per quello che stai cercando di fare.

Dal punto di vista degli aspetti commerciali, Fortify SCA ha il supporto per PHP, per quanto ne so.

    
risposta data 15.03.2011 - 22:05
fonte

Controlla YASCA . Dal loro sito: è uno "script grep glorificato" più un aggregatore di altri strumenti open-source. "Ho avuto un certo successo con questa scoperta dei problemi di sicurezza è il passato, anche se dovrei essere d'accordo con il post precedente che le alternative commerciali che ho provato sono davvero un paio di passi avanti.

    
risposta data 16.03.2011 - 22:32
fonte

AppScan Source, uno strumento commerciale di IBM, supporta anche PHP.

    
risposta data 21.03.2011 - 07:32
fonte

Sfortunatamente, gli strumenti gratuiti non sono grandiosi; sono piuttosto limitati, non così facili da usare per i principianti della sicurezza e / o hanno una copertura limitata di potenziali problemi di sicurezza.

Potresti consultare gli strumenti di pentesting web gratuiti, ad es. Burp Suite. Per ulteriori consigli, vedi, ad esempio, le seguenti domande su questo sito: valutazione della sicurezza , strumenti per il test delle penne . Tuttavia, renditi conto che hanno una copertura limitata e mancheranno molte vulnerabilità.

    
risposta data 13.03.2011 - 08:45
fonte

Lo Spike PHP Security Audit Tool è un altro strumento di analisi statica per la scansione di problemi di sicurezza nel codice PHP.

    
risposta data 21.05.2012 - 07:31
fonte
  • Acunetix
  • Nikto
  • Nessus
  • Wapiti
  • QualysGuard era
  • w3af

Esamineranno e controlleranno il tuo server / sito web e restituiranno insicurezze. Sono molto utili.

    
risposta data 22.05.2012 - 13:03
fonte

Leggi altre domande sui tag