10 кращих сканерів безпеки PHP-коду для пошуку вразливостей

Знайдіть ризик безпеки та якість коду у своїй програмі PHP.


PHP правила в Інтернеті, з навколо 80% частки ринку. Це скрізь – WordPress, Joomla, Lavarel, Drupal тощо.

Ядро PHP є захищеним, але є ще багато іншого, що ви, можливо, використовуєте, і які можуть бути вразливими. Після розробки сайту або складного веб-додатку більшість розробників та власників сайтів зосереджуються на функціональності, дизайні, SEO, і вони забувають про найважливіший компонент – безпека.

Як найкраща практика, ви повинні розглянути можливість перевірки безпеки для вашої програми, перш ніж виходити наживо. Це стосується будь-якого сайту – невеликого чи великого. Є кілька інструментів, які допоможуть вам у цьому.

ПМФ

PHP Finder Malware (PMF) – це власне рішення, яке допоможе вам знайти можливі шкідливі коди у файлах. Відомо виявлення хитрощів, кодерів, обфускаторів, веб-кодів оболонки.

ПМФ використовує YARA, тому це потрібно як необхідна умова для запуску тесту.

RIPS

RIPS є одним із популярних інструментів аналізу статичного коду PHP, який інтегрується через життєвий цикл розробки для пошуку проблем безпеки в режимі реального часу. Ви можете класифікувати результати за галузевою відповідністю та стандартом, щоб визначити пріоритетні виправлення.

  • OWASP Топ-10
  • ДАНС Топ-25
  • PCI-DSS
  • HIPPA

Давайте розглянемо деякі з наведених нижче функцій.

  • Точний ризик на основі ступеня тяжкості та варіанту визначення ваги для критичних, високих, середніх та низьких.
  • Співпрацюйте з розслідуванням та визначте пріоритетне питання
  • Зрозумійте вплив уразливості
  • Оцініть ризик безпеки між старим та новим кодом
  • Створіть список завдань та призначте завдання за допомогою системи квитків

RIPS дозволяє експортувати звіт про результати сканування у різні формати – PDF, CSV та інші за допомогою API RESTful.

Він доступний у вигляді власної хостингу та моделі SaaS. Тож вибирайте, що працює для вас.

SonarPHP

SonarPHP від SonarSource використовує відповідність шаблонів, методи потоку даних, щоб знайти вразливості в PHP-кодах. Це аналізатор статичного коду та інтегрується з Eclipse, IntelliJ.

SonarSource перевіряє код на понад 140 правил, а також підтримує власні правила, написані на Java.

Екзакат

Двигун статичного коду в режимі реального часу для перевірки відповідності, ризику та посилення кращих практик. Екзакат отримав більше, ніж 450 аналізаторів присвячений PHP. Існують конкретні аналізатори, такі як WordPress, CakePHP, Zend тощо.

Якщо у вас є код програми PHP в GitHub, ви можете використовувати їх публічний аналізатор, інакше ви можете завантажити або використовувати хмарний Інтернет.

За допомогою Exakat ви можете інтегрувати вічну безпеку у свою програму та наступне.

  • Автоматизований огляд коду з більш ніж 100 правилами
  • Відповідність готова
  • Автоматизуйте кодову документацію
  • PHP 7 міграція спрощена

Завдяки надійній звітності ви можете визначити пріоритет із відновленням.

PHPStan

PHPStan це фантастичний інструмент для пошуку помилок під час написання коду. Не потрібно нічого запускати.

Ви можете спробувати онлайн-версію тут.

Для його використання PHPStan потрібна версія 7.1 або новіша версія та композитор. Однак він здатний виявляти помилки зі старої версії.

Псалом

Побудований поверх PHP Parser, Псалом добре знаходити помилки та допомагати підтримувати узгодженість для кращого та безпечного застосування.

Прогпілот

Прогпілот статичний аналізатор дозволяє вказати тип аналізу, такий як GET, POST, COOKIE, SHELL_EXEC тощо. Він підтримує структуру suiteCRM та CodeIgniter на даний момент.

PHP мисливець уразливості

Фейзер для пошуку вразливостей за допомогою статичного та динамічного аналізу. Це мисливець здатний полювати наступне.

  • Міжсайтовий сценарій
  • Введення SQL
  • Довільне зчитування файлу та виконання команд
  • Включення локального файлу
  • Повне розкриття шляху

Сканування проводиться в три фази – ініціалізація, сканування та неініціалізація

Граббер

Граббер, інструмент на основі пітона для виконання гібридного аналізу в додатку на основі PHP за допомогою PHP-SAT. Grabber також доступний на Kali Linux.

Симфонія

Моніторинг безпеки Симфонія працює з будь-яким проектом PHP за допомогою композитора. Це довідкова база даних щодо безпеки PHP для відомих уразливостей. Ви можете використовувати PHP-CLI, Symfony-CLI або веб-базування, щоб перевірити composer.lock на наявність відомих проблем з бібліотеками, які ви використовуєте в проекті.

Symfony також пропонує службу оповіщення про безпеку. Це означає, що ви можете завантажити свій файл composer.lock, і коли в майбутньому будь-які використані бібліотеки, які виявляться вразливими, ви отримаєте сповіщення.

Висновок

Я сподіваюся, що, використовуючи вищезазначені інструменти, ви зробите ваші програми PHP більш безпечними. Усі перераховані інструменти зосереджені на аналізі вихідного коду, а якщо вам потрібно більше, то перевірте сканер безпеки з відкритим кодом.

Як тільки ваша програма буде готова, не забудьте додати хмарний WAF для постійної безпеки з крайової мережі.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map