Web 安全 PHP 代碼審查之常規漏洞

發布時間:2019-03-22   來源:未知

  前言

  工欲善其事,必先利其器。我們做代碼審計之前選好工具也是十分必要的。下面我給大家介紹兩款代碼審計中比較好用的工具。

  一、審計工具介紹

  PHP 代碼審計系統— RIPS

  功能介紹

  RIPS 是一款基于 PHP 開發的針對 PHP 代碼安全審計的軟件。

  另外,它也是一款開源軟件,由國外安全研究員 Johannes Dahse 開發,程序只有 450KB,目前能下載到的最新版是0.55。

  在寫這段文字之前筆者特意讀過它的源碼,它最大的亮點在于調用了 PHP 內置解析器接口token_get_all,

  并且使用Parser做了語法分析,實現了跨文件的變量及函數追蹤,掃描結果中非常直觀地展示了漏洞形成及變量傳遞過程,誤報率非常低。

  RIPS 能夠發現 SQL 注入、XSS 跨站、文件包含、代碼執行、文件讀取等多種漏洞,支持多種樣式的代碼高亮。比較有意思的是,它還支持自動生成漏洞利用。

  下載地址:https://jaist.dl.sourceforge.net/project/rips-scanner/rips-0.55.zip.

  解壓到任意一個PHP的運行目錄

  在瀏覽器輸入對應網址,可以通過下圖看到有一個path 在里面填寫你要分析的項目文件路徑,點擊 scan.

在線客服
技術支持
電話咨詢
{ganrao}