我需要确保我管理的PHP站点没有任何常见的PHP漏洞,例如SQL注入,错误配置文件和文件夹的权限等。我认为站点是Joomla站点的插件和模块。手动进行此安全检查可能非常耗时,并且可以每天运行自动化测试,以确保没有任何更改。
所以我的问题是,有没有任何好的自动化软件,或者我必须自己编写代码吗?
答案 0 :(得分:9)
使用模糊器是一个好主意。但是,您也可以尝试自己编写一个自动化系统,因为这将增加您对php站点中的php和安全问题/循环漏洞的了解。
我个人会使用Google的Skipfish并在遇到问题时自行查找,然后根据您的需求和易用性构建自己的。祝你好运!
答案 1 :(得分:4)
可以使用fuzzer或web vulnerability scanner来完成此操作。
答案 2 :(得分:4)
我一直在使用netsparker http://www.mavitunasecurity.com/
不完全符合您的要求,但它可以提供很多帮助:)
答案 3 :(得分:2)
你应该两个都做。检查您的代码并查找可能的SQL注入等。
Google发布了一个名为“Skipfish”的非常好的工具,可以扫描您的应用程序是否存在常见的安全漏洞/攻击模式。答案 4 :(得分:1)
答案 5 :(得分:1)
要熟悉常见的网络安全漏洞,您可能还希望浏览Webgoat
答案 6 :(得分:1)
您可以使用静态代码分析工具,例如RIPS用于PHP,分析完整的安全漏洞源代码。从外部对您的网站进行模糊化可能不会涵盖所有代码路径并忽略问题。
答案 7 :(得分:0)
我怀疑有什么 - 好(因此,100%可靠) - 这是自动化的。但是,一个很好的主题可能就是SO,因为它列出了“历史安全漏洞”。
答案 8 :(得分:0)
RFI,LFI,SQL注入,讨论太多,而且可能太无聊,无法逐一阅读。我建议你改用模糊器。有很多免费的,这里有一篇关于它的维基文章:http://en.wikipedia.org/wiki/Fuzz_testing
答案 9 :(得分:0)
这是一个新的和良好的工具测试,它可以用于Web开发人员,渗透测试人员甚至安全研究人员测试Web应用程序,以查找错误,错误或漏洞。值得一试 Commix