it-swarm-korea.com

PHP 코드에 대해 자동화 된 보안 감사를 실행하기위한 좋은 무료 도구는 무엇입니까?

나는 지금 얼마 동안 찾고 있었고 부족했습니다. 내가 찾은 가장 유망한 것은 더 이상 작동하지 않는 것처럼 보이는 Spike PHP였습니다. SQL 인젝션, XSS 등의 잠재적 인 위험에 대해 코드를 스캔하려고합니다. 대부분의 코드를 수동으로 살펴 봤지만 수십만 줄의 코드를 사용하여 놓친 것 같습니다. 가능하다면 라이브 서버에 설치하지 않고 로컬 컴퓨터에서 코드를 분석하고 다운로드 할 수있는 도구가 있습니까?

6
James Simpson

PHP RIPS 라는 정적 코드 분석 도구가 있습니다. 아직 사용할 기회가 없었습니다. 하지만 여러분이하고자하는 일에 적합한 영역에있는 것 같습니다.

상용 도구 측면에서 Fortify SCA는 내가 아는 한 PHP를 지원합니다.

5
Rory McCune

YASCA 를 확인하세요. 자신의 사이트에서 : "영광스러운 grep 스크립트"와 다른 오픈 소스 도구의 애그리 게이터 "입니다. 이전 게시물에 동의해야하지만 보안 문제를 발견하는 데 성공했습니다. 제가 시도한 상업용 대안은 앞으로 몇 가지 조치입니다.

3
TobyS

IBM의 상용 도구 인 AppScan Source도 PHP를 지원합니다.

2
Aaron

불행히도 무료 도구는 그다지 좋지 않습니다. 보안 초보자에게는 매우 제한적이며 사용하기 쉽지 않으며 잠재적 보안 문제에 대한 범위가 제한적입니다.

Burp Suite와 같은 무료 웹 침투 테스트 도구를 볼 수 있습니다. 더 많은 권장 사항은이 사이트의 다음 질문을 참조하십시오. 보안 평가 , 펜 테스트 도구 . 그러나 적용 범위가 제한되어 있으며 많은 취약점을 놓칠 수 있습니다.

2
D.W.

Spike PHP Security Audit Tool 은 PHP 코드에서 보안 문제를 스캔하는 또 다른 정적 분석 도구입니다.

0
D.W.
  • Acunetix
  • 닛토
  • 네소스
  • 와피 티
  • QualysGuard WAS
  • w3af

이들은 귀하의 서버/웹 사이트를 스캔하고 감사하며 보안 문제를 반환합니다. 매우 유용합니다.

0
h00j