Static Source Code Analysis For PHP Vulnerabilities RIPS Static Source Code Analysis For PHP Vulnerabilities
Open source (fizetős verzió https://www.ripstech.com/) Legújabb verzió: 0.55 (https://sourceforge.net/projects/rips-scanner/files/) Statikus kódelemző Gyors eredmény Elemzi és felbontja a kód fájlokat Átalakítja a PHP forráskódot egy program modellé és érzékeli az érzékeny részeket
Az open source verzió gyengesége, hogy aránylag sok a fals pozitív eredmény Az objektumorientáltság támogatásának hiánya szintén fals pozitív eredményekhez vezethet Web interface, minden hibát egy kód néző jelenít meg Segít a hibák megértésében
Vulnerability types Code Execution Command Execution Connection String Injection Cross-Site Scripting HTTP Response Splitting File Disclosure File Inclusion File Manipulation LDAP Injection PHP Object Injection SQL Injection XPath Injection
Verbosity level User tainted only – potenciálisan sérült függvények biztonsági intézkedések nélkül File/DB tainted – fájlok és lokális DB hibák Show secured – potenciálisan sérült függvények biztonsági intézkedésekkel Untainted – további információk a kódszerkezetről Debug mode – az összes potenciálisan sérült függvény
Options Code Viewer Hide a specific code trace Exploit Creator Description, example code Data leak check
Demó
Források http://www.darknet.org.uk/2014/10/rips-static-source-code-analysis-for-php-vulnerabilities/ https://www.ripstech.com/ http://www.slideshare.net/chirilasorina/rips-27812908 http://rips-scanner.sourceforge.net/
Köszönöm a figyelmet!