10个最佳PHP代码安全扫描程序来查找漏洞

本文概述

  • PMF
  • RIPS
  • SonarPHP
  • Exakat
  • PHPStan
  • Psalm
  • Progpilot
  • PHP Vulnerability Hunter
  • Grabber
  • Symfony
在你的PHP应用程序中查找安全风险和代码质量。
PHP统治着网络, 约有80%的市场份额。它无处不在– WordPress, Joomla, Lavarel, Drupal等。
10个最佳PHP代码安全扫描程序来查找漏洞

文章图片
PHP核心是安全的, 但除此之外, 你可能还在使用许多其他功能, 这可能很容易受到攻击。在开发了站点或复杂的Web应用程序之后, 大多数开发人员和站点所有者都将精力集中在功能, 设计, SEO上, 而他们却忘记了基本组成部分-安全性。
最佳做法是, 在上线之前, 应考虑对应用程序执行安全扫描。这适用于任何站点, 无论大小。有一些工具可以帮助你。
PMF PHP Malware Finder(PMF)是一种自托管的解决方案, 可帮助你在文件中查找可能的恶意代码。众所周知, 可以检测躲避, 编码器, 混淆器, Web Shellcode。
10个最佳PHP代码安全扫描程序来查找漏洞

文章图片
PMF利用YARA, 因此你需要将其作为运行测试的先决条件。
RIPS RIPS是流行的PHP静态代码分析工具之一, 可以在开发生命周期中进行集成以实时发现安全问题。你可以按照行业合规性和标准对调查结果进行分类, 以对修复程序进行优先级排序。
  • OWASP前10名
  • 没有前25名
  • PCI-DSS
  • PARTY
10个最佳PHP代码安全扫描程序来查找漏洞

文章图片
让我们看一下以下一些功能。
  • 根据严重性和选项来确定风险, 以定义严重, 高, 中和低的权重。
  • 合作调查并确定问题的优先级
  • 了解漏洞的影响
  • 评估新旧代码之间的安全风险
  • 使用票务系统创建待办事项清单并分配任务
使用RIPS, 你可以使用RESTful API将扫描结果报告导出为多种格式-PDF, CSV和其他格式。
它可以作为自托管和SaaS模型提供。因此, 选择最适合你的产品。
SonarPHP SonarSource的SonarPHP使用模式匹配, 数据流技术来查找PHP代码中的漏洞。它是一个静态代码分析器, 并与Eclipse, IntelliJ集成。
10个最佳PHP代码安全扫描程序来查找漏洞

文章图片
SonarSource根据140多个规则检查代码, 它还支持用Java编写的自定义规则。
Exakat 实时静态代码分析器引擎, 用于检查合规性, 风险并加强最佳实践。 Exakat有450多个专用于PHP的分析器。有特定于框架的分析器, 如WordPress, CakePHP, Zend等。
10个最佳PHP代码安全扫描程序来查找漏洞

文章图片
如果你的PHP应用程序代码在GitHub中, 则可以使用其公共分析器, 否则你可以选择下载或在线使用基于云的方法。
在Exakat的帮助下, 你可以将永恒的安全性集成到你的应用程序及以下应用程序中。
  • 使用100多个规则自动进行代码审查
  • 准备合规
  • 自动化你的代码文档
  • PHP 7迁移变得容易
使用可靠的报告, 你可以确定修复的优先级。
PHPStan PHPStan是一个出色的工具, 可以在编写代码时发现错误。你无需执行任何操作。
10个最佳PHP代码安全扫描程序来查找漏洞

文章图片
你可以在此处尝试在线版本。
PHPStan需要7.1或更高版本并需要作曲家才能使用它。但是, 它能够发现较旧版本的错误。
Psalm Psalm建立在PHP Parser的基础上, 可以很好地发现错误并有助于保持一致性, 从而获得更好, 更安全的应用程序。
10个最佳PHP代码安全扫描程序来查找漏洞

文章图片
Progpilot Progpilot静态分析器允许你指定分析类型, 例如GET, POST, COOKIE, SHELL_EXEC等。它目前支持suiteCRM和CodeIgniter框架。
PHP Vulnerability Hunter 一个模糊器, 使用静态和动态分析来查找漏洞。该猎人有能力猎捕以下物品。
  • 跨站脚本
  • SQL注入
  • 任意文件读取和命令执行
  • 本地文件包含
  • 全路径公开
扫描分为三个阶段-初始化, 扫描和未初始化
Grabber Grabber, 一个基于python的工具, 可使用PHP-SAT在基于PHP的应用程序上执行混合分析。 Grabber也可在Kali Linux上使用。
Symfony Symfony的Security Monitoring通过该作曲器可与任何PHP项目一起使用。它是用于已知漏洞的PHP安全公告数据库。你可以使用PHP-CLI, Symfony-CLI或基于Web的方法来检查composer.lock中项目中正在使用的库的任何已知问题。
10个最佳PHP代码安全扫描程序来查找漏洞

文章图片
Symfony还提供安全通知服务。这意味着你可以上载composer.lock文件, 并且以后每当发现任何使用过的易受攻击的库时, 你都会收到通知。
总结
我希望通过使用上述工具, 可以使你的PHP应用程序更安全。列出的所有工具都专注于分析源代码, 如果需要更多工具, 请签出开源安全扫描程序。
【10个最佳PHP代码安全扫描程序来查找漏洞】应用程序准备就绪后, 别忘了添加基于云的WAF, 以从边缘网络获得持续的安全性。

    推荐阅读