9个最佳的PHP代码安全扫描器,用于查找漏洞
在您的PHP应用程序中查找安全风险和代码质量。
PHP统治着网络,市场份额达到80%左右。它无处不在 – WordPress,Joomla,Lavarel,Drupal等。
PHP核心是安全的,但在其之上有很多其他可能会受到攻击的组件。在网站或复杂的Web应用程序开发之后,大多数开发人员和站点所有者关注功能,设计,SEO,而忽视了重要的组成部分 – 安全性。
作为最佳实践,您应该在上线前对应用程序进行安全扫描。这适用于任何网站 – 不论大小。有一些工具可以帮助您完成这项任务。
PMF
PHP Malware Finder (PMF)是一个自助式解决方案,可帮助您查找文件中可能存在的恶意代码。它可以检测到可疑的编码器,模糊器和Web Shell代码。
PMF利用了YARA,因此您需要将其作为先决条件来运行测试。
RIPS
RIPS是一种流行的PHP静态代码分析工具,可通过开发生命周期集成,以实时查找安全问题。您可以按行业合规性和标准对发现的问题进行分类,以优先处理修复。
- OWASP前十名
- SANS前25名
- PCI-DSS
- HIPPA
让我们来看一下以下几个功能。
- 根据严重程度确定风险,并可以定义关键、高、中和低的权重。
- 协作调查并优先处理问题
- 了解漏洞的影响
- 评估新旧代码之间的安全风险
- 使用工单系统创建待办事项列表并分配任务
RIPS允许您使用RESTful API导出scan results report into multiple formats – PDF、CSV和其他格式。
它可以作为自助式和SaaS模型提供。因此,请选择适合您的工具。
SonarPHP
SonarSource的SonarPHP使用模式匹配和数据流技术来查找PHP代码中的漏洞。它是一种静态代码分析工具,并与Eclipse、IntelliJ集成。
SonarSource检查代码是否符合140多个规则,并支持使用Java编写的自定义规则。
Exakat
一种实时静态代码分析引擎,用于检查合规性、风险和加强最佳实践。 Exakat有450多个专用于PHP的分析器。还有特定于框架的分析器,如WordPress,CakePHP,Zend等。
如果您的PHP应用程序代码存储在GitHub中,则可以使用其公共分析器,否则可以选择下载或使用基于云的在线工具。
借助Exakat的帮助,您可以将外部安全性集成到应用程序中,并实现以下功能。
- 使用100多个规则自动进行代码审查
- 满足合规要求
- 自动化代码文档
- 简化PHP 7迁移
借助强大的报告功能,您可以优先处理修复工作。
PHPStan
PHPStan是一种奇妙的工具,可以在编写代码时发现错误,您无需运行任何内容。
您可以尝试在线版本here。
PHPStan需要7.1或更高版本以及composer进行使用。但是,它能够检测出旧版本的错误。
Psalm
建立在PHP Parser之上的Psalm可用于查找错误,并帮助保持一致性,以获得更好和更安全的应用程序。
Progpilot
Progpilot静态分析器使您可以指定分析类型,例如GET、POST、COOKIE、SHELL_EXEC等。目前它支持suiteCRM和CodeIgniter框架。
Grabber
Grabber是一个基于Python的工具,可使用PHP-SAT对基于PHP的应用程序执行混合分析。
Symfony
通过Symfony的安全监控可以与任何使用composer的PHP项目一起使用。它是一个用于已知漏洞的PHP安全咨询数据库。您可以使用PHP-CLI、Symfony-CLI或基于Web的方式检查composer.lock文件,以查找项目中使用的库是否存在已知问题。
Symfony还提供了安全通知服务。这意味着您可以上传composer.lock文件,以便在将来发现任何已使用的库存在漏洞时得到通知。
结论
我希望通过使用以上工具,您可以使您的PHP应用程序更加安全。所有列出的工具都专注于分析源代码,如果您需要更多信息,请查看open-source security scanner。
一旦您的应用程序准备就绪,请不要忘记添加cloud-based WAF以获取来自边缘网络的持续安全保护。