本文概述

在你的PHP应用程序中查找安全风险和代码质量。

PHP统治着网络, 约有80％的市场份额。它无处不在– WordPress, Joomla, Lavarel, Drupal等。

PHP核心是安全的, 但除此之外, 你可能还在使用许多其他功能, 这可能很容易受到攻击。在开发了站点或复杂的Web应用程序之后, 大多数开发人员和站点所有者都将精力集中在功能, 设计, SEO上, 而他们却忘记了基本组成部分-安全性。

最佳做法是, 在上线之前, 应考虑对应用程序执行安全扫描。这适用于任何站点, 无论大小。有一些工具可以帮助你。

PMF

PHP Malware Finder(PMF)是一种自托管的解决方案, 可帮助你在文件中查找可能的恶意代码。众所周知, 可以检测躲避, 编码器, 混淆器, Web Shellcode。

PMF利用YARA, 因此你需要将其作为运行测试的先决条件。

RIPS

RIPS是流行的PHP静态代码分析工具之一, 可以在开发生命周期中进行集成以实时发现安全问题。你可以按照行业合规性和标准对调查结果进行分类, 以对修复程序进行优先级排序。

OWASP前10名

没有前25名

PCI-DSS

PARTY

让我们看一下以下一些功能。

根据严重性和选项来确定风险, 以定义严重, 高, 中和低的权重。

合作调查并确定问题的优先级

了解漏洞的影响

评估新旧代码之间的安全风险

使用票务系统创建待办事项清单并分配任务

使用RIPS, 你可以使用RESTful API将扫描结果报告导出为多种格式-PDF, CSV和其他格式。

它可以作为自托管和SaaS模型提供。因此, 选择最适合你的产品。

SonarPHP

SonarSource的SonarPHP使用模式匹配, 数据流技术来查找PHP代码中的漏洞。它是一个静态代码分析器, 并与Eclipse, IntelliJ集成。

SonarSource根据140多个规则检查代码, 它还支持用Java编写的自定义规则。

Exakat

实时静态代码分析器引擎, 用于检查合规性, 风险并加强最佳实践。 Exakat有450多个专用于PHP的分析器。有特定于框架的分析器, 如WordPress, CakePHP, Zend等。

如果你的PHP应用程序代码在GitHub中, 则可以使用其公共分析器, 否则你可以选择下载或在线使用基于云的方法。

在Exakat的帮助下, 你可以将永恒的安全性集成到你的应用程序及以下应用程序中。

使用100多个规则自动进行代码审查

准备合规

自动化你的代码文档

PHP 7迁移变得容易

使用可靠的报告, 你可以确定修复的优先级。

PHPStan

PHPStan是一个出色的工具, 可以在编写代码时发现错误。你无需执行任何操作。

你可以在此处尝试在线版本。

PHPStan需要7.1或更高版本并需要作曲家才能使用它。但是, 它能够发现较旧版本的错误。

Psalm

Psalm建立在PHP Parser的基础上, 可以很好地发现错误并有助于保持一致性, 从而获得更好, 更安全的应用程序。

Progpilot

Progpilot静态分析器允许你指定分析类型, 例如GET, POST, COOKIE, SHELL_EXEC等。它目前支持suiteCRM和CodeIgniter框架。

PHP Vulnerability Hunter

一个模糊器, 使用静态和动态分析来查找漏洞。该猎人有能力猎捕以下物品。

跨站脚本

SQL注入

任意文件读取和命令执行

本地文件包含

全路径公开

扫描分为三个阶段-初始化, 扫描和未初始化

Grabber

Grabber, 一个基于python的工具, 可使用PHP-SAT在基于PHP的应用程序上执行混合分析。 Grabber也可在Kali Linux上使用。

Symfony

Symfony的Security Monitoring通过该作曲器可与任何PHP项目一起使用。它是用于已知漏洞的PHP安全公告数据库。你可以使用PHP-CLI, Symfony-CLI或基于Web的方法来检查composer.lock中项目中正在使用的库的任何已知问题。

Symfony还提供安全通知服务。这意味着你可以上载composer.lock文件, 并且以后每当发现任何使用过的易受攻击的库时, 你都会收到通知。

总结

我希望通过使用上述工具, 可以使你的PHP应用程序更安全。列出的所有工具都专注于分析源代码, 如果需要更多工具, 请签出开源安全扫描程序。

应用程序准备就绪后, 别忘了添加基于云的WAF, 以从边缘网络获得持续的安全性。