PHP 核心是安全的,但除此之外还有很多其他内容,您可能正在使用它们,并且可能容易受到攻击。在开发了网站或复杂的 Web 应用程序之后,大多数开发人员和网站所有者都专注于功能、设计、SEO,而他们忘记了必不可少的组件——安全性。
作为最佳实践,您应该考虑在上线之前对您的应用程序执行安全扫描。这适用于任何网站——无论大小。有一些工具可以帮助你。
PHP Malware Finder (PMF) 是一种自托管解决方案,可帮助您在文件中查找可能的恶意代码。众所周知,它可以检测狡猾的、编码器、混淆器、web shellcode。
PMF 利用 YARA,因此您需要将其作为运行测试的先决条件。
RIPS是流行的 PHP 静态代码分析工具之一,可在整个开发生命周期中集成以实时发现安全问题。您可以按行业合规性和标准对发现进行分类,以确定修复的优先级。
让我们看一下以下一些功能。
RIPS 允许您使用 RESTful API 将扫描结果报告导出为多种格式 - PDF、CSV 和其他格式。
它可作为自托管和 SaaS 模型使用。所以选择适合你的。
SonarSource的 SonarPHP 使用模式匹配、数据流技术来查找 PHP 代码中的漏洞。它是一个静态代码分析器,与 Eclipse、IntelliJ 集成。
SonarSource 根据超过 140 条规则检查代码,它还支持用 Java 编写的自定义规则。
用于检查合规性、风险和强化最佳实践的实时静态代码分析器引擎。Exakat拥有450 多个专用于 PHP 的分析器。有特定于框架的分析器,如WordPress、CakePHP、Zend 等。
如果您在 GitHub 中有您的 PHP 应用程序代码,那么您可以使用他们的公共分析器,否则您可以选择下载或使用基于云的在线。
在 Exakat 的帮助下,您可以将永恒的安全性集成到您的应用程序和以下内容中。
借助强大的报告,您可以确定补救措施的优先级。
PHPStan是一个很棒的工具,可以在您编写代码时发现错误。你不需要运行任何东西。
您可以在此处尝试在线版本。
PHPStan 需要 7.1 或更高版本和 composer 才能使用它。但是,它能够从旧版本中发现错误。
Psalm建立在 PHP Parser 之上,可以很好地发现错误并帮助保持一致性,以实现更好、更安全的应用程序。
Progpilot静态分析器允许您指定分析类型,如 GET、POST、COOKIE、SHELL_EXEC 等。它目前支持 suiteCRM 和 CodeIgniter 框架。
使用静态和动态分析查找漏洞的模糊器。这个猎人能够狩猎以下。
扫描分三个阶段完成——初始化、扫描和取消初始化
Grabber,一个基于 python 的工具,用于使用 PHP-SAT 对基于 PHP 的应用程序执行混合分析。
Symfony的安全监控适用于任何使用 composer 的 PHP 项目。它是一个针对已知漏洞的 PHP 安全咨询数据库。您可以使用 PHP-CLI、Symfony-CLI 或基于 Web 的方式来检查 composer.lock 是否存在您在项目中使用的库的任何已知问题。
Symfony 还提供安全通知服务。这意味着您可以上传您的 composer.lock 文件,并且将来无论何时发现任何使用的库存在漏洞,您都会收到通知。
结论
我希望通过使用上述工具,您可以使您的 PHP 应用程序更加安全。列出的所有工具都专注于分析源代码,如果您需要更多工具,请查看开源安全扫描器。
一旦您的应用程序准备就绪,请不要忘记添加基于云的 WAF,以确保边缘网络的持续安全。