Есть ли простой в использовании сканер безопасности PHP?
Имейте в виду, что ни один автоматический сканер безопасности не сможет обнаружить все уязвимости в базе кода. Лучший способ защитить ваш код – узнать о том, как писать защищенное программное обеспечение, и делать добросовестные обзоры кода.
Заметьте, я не говорю НЕ использовать сканер. Я говорю использовать сканер только в качестве второй линии защиты. Не полагайтесь на это, чтобы восполнить плохой порядок кодирования …
Старая тема, но я заметил, что никто еще не упомянул RIPS Scanner (см. Также соответствующую страницу проекта на Sourceforge )
«RIPS – это бесплатный статический анализатор исходного кода для уязвимостей в PHP-скриптах»
Я еще не пробовал (просто загружаю его сейчас), но это похоже на тот вопрос, который ищет этот вопрос. И это бесплатно (лицензия GPL). (интересно отметить, что он был впервые выпущен в июне 2010 года, в то же время, когда задавался этот вопрос)
Sourceforge также запустил еще несколько проектов:
RIPS выглядит намного лучше, чем любой другой, но, возможно, стоит попробовать их всех, просто чтобы увидеть.
надеюсь, это поможет
Да, очень хороший:
Acunetix Web Security Scanner
Acunetix WVS автоматически проверяет ваши веб-приложения для SQL Injection, XSS и других уязвимостей в Интернете.
Попробуйте следующие сканеры для обнаружения потенциально вредоносных файлов PHP:
phpscanner
;
PHP-сканер написан на Python для идентификации PHP backdoor и php-кода. Этот инструмент в основном повторно используется ниже упомянутых инструментов. Чтобы использовать этот инструмент, вам необходимо установить библиотеку yara для Python из источника.
php-malware-finder
;
Делает все возможное, чтобы обнаружить запутанный / изворотливый код, а также файлы с использованием функций PHP, часто используемых в malwares / webshells. Обнаружение выполняется путем обхода файловой системы и тестирования файлов с помощью набора правил YARA .
php-malware-scanner
;
Сканирует текущий рабочий каталог и отображает результаты со счетом больше заданного значения. Выпускается по лицензии MIT.
Для получения дополнительных инструментов проверьте: Сканер вредоносных программ для кода веб-сайтов .