Vind beveiligingsrisico’s en codekwaliteit in uw PHP-applicatie.
PHP regeert het web, met rond 80% van het marktaandeel. Het is overal – WordPress, Joomla, Lavarel, Drupal, enz.
PHP core is veilig, maar er komt nog veel meer bij, dat je misschien gebruikt, en dat kan kwetsbaar zijn. Na de ontwikkeling van een site of complexe webapplicatie richten de meeste ontwikkelaars en site-eigenaren zich op functionaliteit, ontwerp, SEO en vergeten ze het essentiële onderdeel – veiligheid.
U kunt het beste een beveiligingsscan voor uw toepassing uitvoeren voordat u live gaat. Dit geldt voor elke site – klein of groot. Er zijn een aantal tools om je daarbij te helpen.
Contents
PMF
PHP Malware Finder (PMF) is een door uzelf gehoste oplossing om u te helpen mogelijke kwaadaardige codes in de bestanden te vinden. Het is bekend om dodgy, encoders, obfuscators, webshellcode te detecteren.
PMF maakt gebruik van YARA, dus u hebt dat nodig als voorwaarde om de test uit te voeren.
RIPS
RIPS is een van de populaire analysehulpmiddelen voor PHP-statische code die tijdens de ontwikkelingslevenscyclus kan worden geïntegreerd om in realtime beveiligingsproblemen op te sporen. U kunt de bevinding categoriseren op naleving van de branche en standaard om prioriteit te geven aan de fixes.
- OWASP Top 10
- SANS Top 25
- PCI-DSS
- HIPPA
Laten we eens kijken naar enkele van de volgende functies.
- Bepaal het risico op basis van de ernst en de mogelijkheid om gewichten te definiëren voor kritisch, hoog, gemiddeld en laag.
- Werk samen aan het onderzoek en geef prioriteit aan het probleem
- Begrijp de impact van kwetsbaarheden
- Evalueer het beveiligingsrisico tussen oude en nieuwe code
- Maak een takenlijst en wijs taken toe met behulp van het ticketsysteem
Met RIPS kunt u het scanresultatenrapport exporteren naar meerdere formaten – PDF, CSV en andere met behulp van RESTful API.
Het is beschikbaar als een zelfgehost en SaaS-model. Kies dus wat voor jou werkt.
SonarPHP
SonarPHP by SonarSource gebruikt patroonafstemming, dataflow-technieken om kwetsbaarheden in PHP-codes te vinden. Het is een statische code-analyser en integreert met Eclipse, IntelliJ.
SonarSource controleert de code met meer dan 140 regels en ondersteunt ook aangepaste regels die in Java zijn geschreven.
Exakat
Een real-time engine voor het analyseren van statische codes om naleving, risico te controleren en best practices te versterken. Exakat kreeg meer dan 450 analysers gewijd aan PHP. Er zijn framework-specifieke analysers zoals WordPress, CakePHP, Zend, enz.
Als u uw PHP-toepassingscode in GitHub heeft, kunt u hun openbare analysator gebruiken, anders kunt u ervoor kiezen om de cloudgebaseerde online te downloaden of te gebruiken.
Met behulp van Exakat kunt u eeuwige beveiliging integreren in uw applicatie en het volgende.
- Code review geautomatiseerd met meer dan 100 regels
- Compliance klaar
- Automatiseer uw codedocumentatie
- Makkelijk PHP 7 migratie
Met de robuuste rapportage kunt u prioriteit geven aan de sanering.
PHPStan
PHPStan is een fantastische tool om bugs te vinden terwijl je de code schrijft. U hoeft niets uit te voeren.
Je kunt de online versie proberen hier.
PHPStan vereist 7.1 of hogere versie en componist om het te gebruiken. Het kan echter bugs van een oudere versie ontdekken.
Psalm
Gebouwd bovenop PHP Parser, Psalm is goed om fouten te vinden en de consistentie te behouden voor een betere en veiligere toepassing.
Progpilot
Progpilot Met statische analyser kunt u het analysetype specificeren zoals GET, POST, COOKIE, SHELL_EXEC, enz. Het ondersteunt op dit moment het suiteCRM- en CodeIgniter-framework.
PHP-kwetsbaarheidsjager
Een fuzzer om kwetsbaarheden te zoeken met behulp van statische en dynamische analyse. Deze jager is in staat om op het volgende te jagen.
- Cross-site scripting
- SQL injectie
- Willekeurig lezen van bestanden en uitvoeren van opdrachten
- Opname van lokale bestanden
- Volledige openbaarmaking van het pad
De scan gebeurt in drie fasen: initialisatie, scan en un-initialisatie
Grabber
Grabber, een op python gebaseerd hulpmiddel om hybride analyse uit te voeren op een op PHP gebaseerde toepassing met behulp van PHP-SAT. Grabber is ook beschikbaar op Kali Linux.
Symfony
Beveiligingsmonitoring door Symfony werkt met elk PHP-project met behulp van de componist. Het is een PHP-beveiligingsadviesdatabase voor bekende kwetsbaarheden. U kunt PHP-CLI, Symfony-CLI of webgebaseerd gebruiken om composer.lock te controleren op bekende problemen met de bibliotheken die u in het project gebruikt.
Symfony biedt ook een beveiligingsmeldingsservice. Dat betekent dat u uw composer.lock-bestand kunt uploaden en wanneer in de toekomst kwetsbare bibliotheken worden gebruikt, ontvangt u een melding.
Conclusie
Ik hoop dat je met behulp van de bovenstaande tools je PHP-applicaties veiliger maakt. Alle vermelde tools zijn gericht op het analyseren van broncode en als u meer nodig heeft, kijk dan eens naar een open-source beveiligingsscanner.
Zodra uw applicatie gereed is, vergeet dan niet om een cloudgebaseerde WAF toe te voegen voor continue beveiliging vanaf het edge-netwerk.