Сканер безопасности PHP

Есть ли простой в использовании сканер безопасности PHP?

Имейте в виду, что ни один автоматический сканер безопасности не сможет обнаружить все уязвимости в базе кода. Лучший способ защитить ваш код – узнать о том, как писать защищенное программное обеспечение, и делать добросовестные обзоры кода.

Заметьте, я не говорю НЕ использовать сканер. Я говорю использовать сканер только в качестве второй линии защиты. Не полагайтесь на это, чтобы восполнить плохой порядок кодирования …

Старая тема, но я заметил, что никто еще не упомянул RIPS Scanner (см. Также соответствующую страницу проекта на Sourceforge )

«RIPS – это бесплатный статический анализатор исходного кода для уязвимостей в PHP-скриптах»

Я еще не пробовал (просто загружаю его сейчас), но это похоже на тот вопрос, который ищет этот вопрос. И это бесплатно (лицензия GPL). (интересно отметить, что он был впервые выпущен в июне 2010 года, в то же время, когда задавался этот вопрос)

Sourceforge также запустил еще несколько проектов:

RIPS выглядит намного лучше, чем любой другой, но, возможно, стоит попробовать их всех, просто чтобы увидеть.

надеюсь, это поможет

Да, очень хороший:

Acunetix Web Security Scanner

Acunetix WVS автоматически проверяет ваши веб-приложения для SQL Injection, XSS и других уязвимостей в Интернете.

Попробуйте следующие сканеры для обнаружения потенциально вредоносных файлов PHP:

  • phpscanner ;

    PHP-сканер написан на Python для идентификации PHP backdoor и php-кода. Этот инструмент в основном повторно используется ниже упомянутых инструментов. Чтобы использовать этот инструмент, вам необходимо установить библиотеку yara для Python из источника.

  • php-malware-finder ;

    Делает все возможное, чтобы обнаружить запутанный / изворотливый код, а также файлы с использованием функций PHP, часто используемых в malwares / webshells. Обнаружение выполняется путем обхода файловой системы и тестирования файлов с помощью набора правил YARA .

  • php-malware-scanner ;

    Сканирует текущий рабочий каталог и отображает результаты со счетом больше заданного значения. Выпускается по лицензии MIT.

Для получения дополнительных инструментов проверьте: Сканер вредоносных программ для кода веб-сайтов .