it-swarm-es.com

¿Cuáles son algunas herramientas gratuitas y buenas para ejecutar auditorías de seguridad automatizadas para PHP código?

He estado buscando durante algún tiempo y me he quedado corto. El más prometedor que encontré fue Spike PHP, que parece que ya no funciona. Estoy buscando escanear mi código en busca de riesgos potenciales de inyección SQL, XSS, etc. He revisado la mayor parte de mi código manualmente, pero con unos cientos de miles de líneas de código, estoy seguro de que me perdí algunas cosas. Si es posible, ¿hay alguna herramienta que se pueda descargar y analizar el código en mi máquina local en lugar de instalarla en el servidor en vivo (esto no es un requisito si no es así)?

6
James Simpson

Hay una herramienta de análisis de código estático para PHP llamado RIPS . No he tenido la oportunidad de usarlo todavía, pero parece que está en el tipo de área adecuada para lo que está buscando hacer.

En el lado de las herramientas comerciales, Fortify SCA tiene soporte para PHP, hasta donde yo sé.

5
Rory McCune

Echa un vistazo a YASCA . Desde su propio sitio: es un "script grep glorificado" más un agregador de otras herramientas de código abierto ". He tenido cierto éxito al descubrir que los problemas de seguridad son cosa del pasado, aunque tengo que estar de acuerdo con la publicación anterior en que las alternativas comerciales que he probado realmente están un par de movimientos por delante.

3
TobyS

AppScan Source, una herramienta comercial de IBM, también tiene soporte para PHP.

2
Aaron

Desafortunadamente, las herramientas gratuitas no son tan buenas; son bastante limitados, no son tan fáciles de usar para un novato en seguridad y/o tienen una cobertura limitada de posibles problemas de seguridad.

Puede buscar herramientas gratuitas de pentesting web, por ejemplo, Burp Suite. Para obtener más recomendaciones, consulte, por ejemplo, las siguientes preguntas en este sitio: evaluación de seguridad , herramientas de prueba de lápiz . Sin embargo, tenga en cuenta que tienen una cobertura limitada y perderán muchas vulnerabilidades.

2
D.W.

El Spike PHP Security Audit Tool es otra herramienta de análisis estático para buscar problemas de seguridad en PHP código.

0
D.W.
  • Acunetix
  • Nikto
  • Nessus
  • Wapiti
  • QualysGuard FUE
  • w3af

Estos escanearán y auditarán su servidor/sitio web y devolverán las inseguridades. Son muy útiles.

0
h00j