Web 安全 PHP 代码审查之常规漏洞

发布时间:2019-03-22   来源:未知

  前言

  工欲善其事,必先利其器。我们做 代码审计之前选好工具也是十分必要的。下面我 给大家介绍两款代码审计中比较好用的工具。

  一、审计工具介绍

  PHP 代码审计系统— RIPS

  功能介绍

  RIPS 是一款基于 PHP 开发的针对 PHP 代码安全审计的软件。

  另外,它也是一款开源软件,由国外安全研究员 Johannes Dahse 开发,程序只有 450KB,目前能 下载到的最新版是0.55。

  在写这 段文字之前笔者特意读过它的源码,它最大 的亮点在于调用了 PHP 内置解析器接口token_get_all,

  并且使用Parser做了语法分析,实现了 跨文件的变量及函数追踪,扫描结 果中非常直观地展示了漏洞形成及变量传递过程,误报率非常低。

  RIPS 能够发现 SQL 注入、XSS 跨站、文件包含、代码执行、文件读取等多种漏洞,支持多 种样式的代码高亮。比较有意思的是,它还支 持自动生成漏洞利用。

  下载地址:https://jaist.dl.sourceforge.net/project/rips-scanner/rips-0.55.zip.

  解压到任意一个PHP的运行目录

  在浏览 器输入对应网址,可以通 过下图看到有一个path 在里面 填写你要分析的项目文件路径,点击 scan.

友情链接:    奖多多下载官方网站   奖多多手机足彩app   八马彩票   云浮彩票   竞彩app