10 个 PHP 代码安全漏洞扫描程序

PHP 核心是安全的，但除此之外还有很多其他内容，您可能正在使用它们，并且可能容易受到攻击。在开发了网站或复杂的 Web 应用程序之后，大多数开发人员和网站所有者都专注于功能、设计、SEO，而他们忘记了必不可少的组件——安全性。

作为最佳实践，您应该考虑在上线之前对您的应用程序执行安全扫描。这适用于任何网站——无论大小。有一些工具可以帮助你。

PMF

PHP Malware Finder (PMF) 是一种自托管解决方案，可帮助您在文件中查找可能的恶意代码。众所周知，它可以检测狡猾的、编码器、混淆器、web shellcode。

PMF 利用 YARA，因此您需要将其作为运行测试的先决条件。

RIPS

RIPS是流行的 PHP 静态代码分析工具之一，可在整个开发生命周期中集成以实时发现安全问题。您可以按行业合规性和标准对发现进行分类，以确定修复的优先级。

• OWASP 前 10 名
• SANS 前 25 名
• PCI-DSS
• HIPPA

让我们看一下以下一些功能。

• 根据严重性和选项来确定风险，以定义关键、高、中和低的权重。
• 合作调查并确定问题的优先级
• 了解漏洞影响
• 评估新旧代码之间的安全风险
• 使用票务系统创建待办事项列表并分配任务

RIPS 允许您使用 RESTful API 将扫描结果报告导出为多种格式 - PDF、CSV 和其他格式。

它可作为自托管和 SaaS 模型使用。所以选择适合你的。

SonarPHP

SonarSource的 SonarPHP 使用模式匹配、数据流技术来查找 PHP 代码中的漏洞。它是一个静态代码分析器，与 Eclipse、IntelliJ 集成。

SonarSource 根据超过 140 条规则检查代码，它还支持用 Java 编写的自定义规则。

Exakat

用于检查合规性、风险和强化最佳实践的实时静态代码分析器引擎。Exakat拥有450 多个专用于 PHP 的分析器。有特定于框架的分析器，如WordPress、CakePHP、Zend 等。

如果您在 GitHub 中有您的 PHP 应用程序代码，那么您可以使用他们的公共分析器，否则您可以选择下载或使用基于云的在线。

在 Exakat 的帮助下，您可以将永恒的安全性集成到您的应用程序和以下内容中。

• 超过 100 条规则自动进行代码审查
• 合规准备就绪
• 自动化您的代码文档
• PHP 7 迁移变得容易

借助强大的报告，您可以确定补救措施的优先级。

PHPStan

PHPStan是一个很棒的工具，可以在您编写代码时发现错误。你不需要运行任何东西。

您可以在此处尝试在线版本。

PHPStan 需要 7.1 或更高版本和 composer 才能使用它。但是，它能够从旧版本中发现错误。

Psalm

Psalm建立在 PHP Parser 之上，可以很好地发现错误并帮助保持一致性，以实现更好、更安全的应用程序。

Progpilot

Progpilot静态分析器允许您指定分析类型，如 GET、POST、COOKIE、SHELL_EXEC 等。它目前支持 suiteCRM 和 CodeIgniter 框架。

PHP Vulnerability Hunter

使用静态和动态分析查找漏洞的模糊器。这个猎人能够狩猎以下。

• 跨站脚本
• SQL注入
• 任意文件读取和命令执行
• 本地文件包含
• 全路径公开

扫描分三个阶段完成——初始化、扫描和取消初始化

Grabber

Grabber，一个基于 python 的工具，用于使用 PHP-SAT 对基于 PHP 的应用程序执行混合分析。

Symfony

Symfony的安全监控适用于任何使用 composer 的 PHP 项目。它是一个针对已知漏洞的 PHP 安全咨询数据库。您可以使用 PHP-CLI、Symfony-CLI 或基于 Web 的方式来检查 composer.lock 是否存在您在项目中使用的库的任何已知问题。

Symfony 还提供安全通知服务。这意味着您可以上传您的 composer.lock 文件，并且将来无论何时发现任何使用的库存在漏洞，您都会收到通知。

结论

我希望通过使用上述工具，您可以使您的 PHP 应用程序更加安全。列出的所有工具都专注于分析源代码，如果您需要更多工具，请查看开源安全扫描器。

一旦您的应用程序准备就绪，请不要忘记添加基于云的 WAF，以确保边缘网络的持续安全。