LOADING

Web 安全 PHP 代碼審查之常規漏洞

2017-10-25 14:26
由 admin 發表

前言

工欲善其事,必先利其器。我們做代碼審計之前選好工具也是十分必要的。下面我給大家介紹兩款代碼審計中比較好用的工具。

一、審計工具介紹

PHP 代碼審計系統— RIPS

功能介紹

RIPS 是一款基于 PHP 開發的針對 PHP 代碼安全審計的軟件。

另外,它也是一款開源軟件,由國外安全研究員 Johannes Dahse 開發,程序只有 450KB,目前能下載到的最新版是0.55。

在寫這段文字之前筆者特意讀過它的源碼,它最大的亮點在于調用了 PHP 內置解析器接口token_get_all,

并且使用Parser做了語法分析,實現了跨文件的變量及函數追蹤,掃描結果中非常直觀地展示了漏洞形成及變量傳遞過程,誤報率非常低。

RIPS 能夠發現 SQL 注入、XSS 跨站、文件包含、代碼執行、文件讀取等多種漏洞,支持多種樣式的代碼高亮。比較有意思的是,它還支持自動生成漏洞利用。

 

下載地址:https://jaist.dl.sourceforge.net/project/rips-scanner/rips-0.55.zip.

解壓到任意一個PHP的運行目錄

在瀏覽器輸入對應網址,可以通過下圖看到有一個path 在里面填寫你要分析的項目文件路徑,點擊 scan.

Copyright © 2018-2020 濰坊銘盛電子商務有限公司 版權所有
少妇人妻偷人精品视频