Найдите угрозу безопасности и качество кода в своем приложении PHP.

PHP управляет сетью, вокруг 80% доли рынка. Это везде – WordPress, Joomla, Lavarel, Drupal и т. Д..

Ядро PHP безопасно, но есть еще много чего, что вы можете использовать, и это может быть уязвимо. После разработки сайта или сложного веб-приложения большинство разработчиков и владельцев сайтов сосредотачиваются на функциональности, дизайне, SEO и забывают о важнейшем компоненте – безопасность.

Рекомендуется выполнить проверку безопасности приложения перед началом работы. Это относится к любому сайту – маленькому или большому. Есть несколько инструментов, которые помогут вам с этим.

PMF

PHP Malware Finder (PMF) – это автономное решение, которое поможет вам найти возможные вредоносные коды в файлах. Известно, что он обнаруживает хитрость, кодировщики, обфускаторы, веб-шелл-код.

PMF использует YARA, так что это необходимо в качестве предварительного условия для запуска теста.

толчея

толчея Это один из популярных инструментов статического анализа кода PHP, который интегрируется на протяжении всего жизненного цикла разработки для поиска проблем безопасности в режиме реального времени. Вы можете классифицировать результаты по отраслевому соответствию и стандарту для определения приоритетов исправлений..

  • OWASP Top 10
  • Санс Топ 25
  • PCI-DSS
  • HIPPA

Давайте рассмотрим некоторые из следующих функций.

  • Определить риск, основанный на серьезности и возможность определить веса для критического, высокого, среднего и низкого.
  • Сотрудничать в расследовании и расставить приоритеты
  • Понять влияние уязвимости
  • Оцените риск безопасности между старым и новым кодом
  • Создать список дел и назначить задачи, используя систему тикетов

RIPS позволяет экспортировать отчет о результатах сканирования в несколько форматов – PDF, CSV и другие с помощью RESTful API.

Он доступен в качестве самостоятельной модели SaaS. Так что выбирайте, что работает для вас.

SonarPHP

SonarPHP SonarSource использует сопоставление с образцом, методы потока данных для поиска уязвимостей в кодах PHP. Это статический анализатор кода и интегрируется с Eclipse, IntelliJ.

SonarSource проверяет код на соответствие более чем 140 правилам, а также поддерживает пользовательские правила, написанные на Java.

Exakat

Статический анализатор кода в режиме реального времени для проверки соответствия, риска и усиления передового опыта. Exakat получил больше, чем 450 анализаторов посвященный PHP. Существуют специализированные анализаторы, такие как WordPress, CakePHP, Zend и т. Д..

Если у вас есть код приложения PHP в GitHub, то вы можете использовать их общедоступный анализатор, иначе вы можете загрузить или использовать облачный онлайн.

С помощью Exakat вы можете интегрировать вечную безопасность в свое приложение и следующее.

  • Проверка кода автоматизирована с использованием более 100 правил
  • Соответствие готово
  • Автоматизируйте документацию вашего кода
  • Переход на PHP 7 стал проще

С надежной отчетности, вы можете определить приоритеты исправления.

PHPStan

PHPStan это фантастический инструмент для поиска ошибок при написании кода. Вам не нужно ничего запускать.

Вы можете попробовать онлайн версию Вот.

PHPStan требует версии 7.1 или выше и композитора, чтобы использовать его. Тем не менее, он способен обнаруживать ошибки из старой версии.

Псалом

Создан на основе PHP Parser, Псалом Это хорошо, чтобы найти ошибки и помочь поддерживать согласованность для лучшего и безопасного приложения.

Progpilot

Progpilot Статический анализатор позволяет вам указать тип анализа, такой как GET, POST, COOKIE, SHELL_EXEC и т. д. В настоящее время он поддерживает инфраструктуру suiteCRM и CodeIgniter..

Охотник за уязвимостями PHP

Фаззер для поиска уязвимостей с помощью статического и динамического анализа. Эта охотник способен охотиться на следующих.

  • Межсайтовый скриптинг
  • SQL-инъекция
  • Произвольное чтение файла и выполнение команды
  • Локальное включение файла
  • Полное раскрытие пути

Сканирование выполняется в три этапа – инициализация, сканирование и неинициализация

хапуга

хапуга, инструмент на основе Python для выполнения гибридного анализа в приложении на основе PHP с использованием PHP-SAT. Grabber также доступен на Кали Линукс.

Symfony

Мониторинг безопасности Symfony работает с любым проектом PHP, используя композитор. Это консультативная база данных по безопасности PHP для известных уязвимостей. Вы можете использовать PHP-CLI, Symfony-CLI или веб-интерфейс, чтобы проверить composer.lock на наличие известных проблем с библиотеками, которые вы используете в проекте..

Symfony также предлагает сервис уведомлений о безопасности. Это означает, что вы можете загрузить свой файл composer.lock, и всякий раз, когда в будущем любые используемые библиотеки будут признаны уязвимыми, вы будете получать уведомления.

Вывод

Я надеюсь, что с помощью вышеуказанных инструментов вы сделаете свои PHP-приложения более безопасными. Все перечисленные инструменты сосредоточены на анализе исходного кода, и, если вам нужно больше, попробуйте сканер безопасности с открытым исходным кодом..

Когда ваше приложение будет готово, не забудьте добавить облачный WAF для непрерывной защиты от периферийной сети..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me