有没有易于使用的PHP安全扫描程序?
答案 0 :(得分:15)
请注意,没有自动安全扫描程序能够检测到代码库中的所有漏洞。保护代码的最佳方法是了解如何编写安全软件,并进行勤勉的代码审查。
注意,我不是说不使用扫描仪。我说只使用扫描仪作为第二道防线。不要依赖它来弥补糟糕的编码习惯......
答案 1 :(得分:5)
一个古老的话题,但我注意到还没有人提到过RIPS Scanner(另请参阅相关的project page on Sourceforge)
“RIPS是一个免费的静态源代码分析器,用于处理PHP脚本中的漏洞”
我还没有尝试过(现在只是下载),但这听起来像是问题所寻找的那种东西。它是免费的(GPL许可)。 (有趣的是,它在2010年6月首次发布,几乎与此问题同时发布)
Sourceforge还提出了一些其他项目:
RIPS看起来比其他任何一个都使用得更好,但它可能值得一试,只是为了看。
希望有所帮助
答案 2 :(得分:3)
答案 3 :(得分:2)
尝试以下扫描程序来检测潜在的恶意PHP文件:
用Python编写的PHP扫描程序,用于识别PHP后门程序和php恶意代码。该工具主要是重用下面提到的工具。要使用此工具,您需要从源代码安装Python的yara library。
最好使用常用于恶意软件/网络外壳的PHP函数来检测混淆/狡猾的代码以及文件。通过根据一组YARA规则抓取文件系统和测试文件来执行检测。
扫描当前工作目录并显示分数大于给定值的结果。根据麻省理工学院的许可证发布。
有关更多工具,请查看:Malware scanner for websites code。