Static Source Code Analysis For PHP Vulnerabilities

Slides:



Advertisements
Hasonló előadás
4. alkalom – Hálózat Kezelés
Advertisements

HTML enhanced for web apps! Fodor Krisztián
Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék 5.5. Model Based Architecture módszerek BelAmI_H Spring.
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
Social Networking alkalmazás fejlesztése ASP.NET 3.5-tel Árvai Zoltán Consultant, Trainer Számalk Oktatóközpont.
DFAN-INF-524 és DFAL-INF-524 kurzus hallgatói számára
HTML5 alapú fejlesztő és futtató környezet megvalósítása
2 Forrás: The Standish Group International, Extreme Chaos, The Standish Group International, Inc., 2000.
megismerése, mintaadatbázis létrehozása
Microsoft Visual Studio 2005 kiterjeszthetőség Albert István Automatizálási és Alkalmazott Informatika Tanszék MSDN Kompetencia Központ.
Adatbázis tesztelés.
Feladatok együttműködésének ellenőrzése
Hibakezelés és Tesztelés a Visual Studio.NET-ben
Beépített vezérlők és validáció
Ellenőrző kérdések a)Auto-indexing enabled b)Auto-indexing disabled c)Nem eldönthető 1.
WEB Technológiák Dr. Pance Miklós – Kolcza Gábor Miskolci Egyetem.
WSDL alapismeretek A WSDL (Web Services Description Language – Web szolgáltatások leíró nyelv) egy XML-alapú nyelv a Web szolgáltatások leírására és azok.
C# tagfüggvények.
6. előadás: PHP-MySQL Barabás Péter
SPRING FRAMEWORK bemutatása
SQL Server 2005 Integration Services Kószó Károly rendszermérnök Microsoft Magyarország.
Authentication & Authorization Belinszki Balázs terméktámogató mérnök Juhász Mihály alkalmazásfejlesztési tanácsadó.
Készítette: Keszthelyi Zsolt
Delphi programozás 8. ELŐADÁS ADO ActiveX Data Objects.
Egyszerű webes alkalmazás fejlesztése Készítette: Simon Nándor.
Egyszerű webes alkalmazás fejlesztése
PHP I. Alapok. Mi a PHP? PHP Hypertext Preprocessor Szkriptnyelv –Egyszerű, gyors fejlesztés –Nincs fordítás (csak értelmező) Alkalmazási lehetőségek:
A kompenzálásnak 3 lehetséges módja van: Δ=0 →amikor nincs kompenzálás Δ>0 →a kompenzálás érték pozitív Δ
Nyílt könyvtári gyűjtemények az Interneten Szabványos metaadatok: átjárhatóság Tapolcai Ágnes MEK Osztály.
Optimalizálás Ez az előadó neve beosztása vállalata.
Vezérlők használata és írása Ez az előadó neve beosztása vállalata.
Az ASP.NET programozási modell Ez az előadó neve beosztása vállalata.
Metaadatok és metaadatkezelő rendszerek Drótos László Drótos László OSZK MEK Osztály.
Felhasználók és jogosultságok
PHP oktatási tapasztalatok
Portálrendszerek és biztonság Bártházi András Első Magyarországi PHP Konferencia március 29. Copyright PHP Konferencia, 2003,
1 Hernyák Zoltán Web: Magasszintű Programozási Nyelvek I. Eszterházy.
1 Hernyák Zoltán Web: Magasszintű Programozási Nyelvek I. Eszterházy.
Készítette: Lipp Marcell
Javascript Microsoft által készített kiegészítése Statikus típusosság Nagy projektek Windows 8 fejlesztésénél WinRT egy részét ebben írták Nyílt forráskódú,
Advanced BPEL. Tartalomjegyzék BPEL Designer + XSLT kezelés XSQL kezelés BPEL segítségével Tömbkezelés és adatmanipuláció Dátumkezelés LDAP hozzáférés.
Web Architecture. Development of Computing Architectures Monolithic mainframe programming Client Server Real Client Server Web Programming.
1 Verseny 2000 gyakorlat ASP. 2 Gyakorlat Web létrehozása: Frontpage 2000 New Web:
WEB Technológiák WEB-DB és XML ME Általános Informatikai Tsz. dr. Kovács László.
Illés Zoltán ELTE Informatikai Kar
Webprogramozó tanfolyam
Könyvtári honlapok megújítása Miért és hogyan? Vida Andrea Egyetemi Könyvtár Szeged.
A Visual Basic nyelvi elemei
Illés Zoltán ELTE Informatikai Kar
Egyéb interpreterek Windows Script Host Internet Explorer Hypertext application.
Így készült... a drupal6themes.com. 2 Miről lesz szó? Ötlet Célok Megoldások Problémák és hiányosságok További ötletek és tervek.
Célkitűzések Egyszerű leltározási program fejlesztése
SQL Server 7 installálása. A szükséges hardver és szoftver Processzor Memória Háttértár OS Hálózat Kliensek.
DLL használata és készítése Feladat
Palotás Ádám és Fodor Gergely Oracle Data Integrator Bemutató és gyakorlat
Oracle Label Security OLS. Szintek Kategóriák.
Opencms modul fejlesztés Krizsán Zoltán. Modulok fajtái Nincs előírás, csak tipikus tennivalók: –Content type: új típus(oka)t vezet be. –Template: új.
Alapok Gyakorlat 2015/16 őszi szemeszter Automatizálási tanszék.
Krizsán Zoltán, iit C# osztályok 2 Adattagok  Osztály hatáskörben definiált változó.  Formája: [attribútum] [módosító] típus azonosító [=kezdő érték][,
Megoldásaink a GDPR előírásaira
SAP Code Inspector Szász Adorján.
Test Automation Kurzus Intro
Hernyák Zoltán Magasszintű Programozási Nyelvek I.
Szoftvermetrikák és minőségmenedzsment Péter Előd
Hernyák Zoltán Magasszintű Programozási Nyelvek I.
biztonsági tesztelés A közösségi élmény
Metaadatok és metaadatkezelő rendszerek
DevSecOps Ha gyors a deploy, a security folyamatoknak is skálázódni kell Ottucsák József
Clang tooling.
CEO, Hacktivity Conference
Előadás másolata:

Static Source Code Analysis For PHP Vulnerabilities RIPS Static Source Code Analysis For PHP Vulnerabilities

Open source (fizetős verzió https://www.ripstech.com/) Legújabb verzió: 0.55 (https://sourceforge.net/projects/rips-scanner/files/) Statikus kódelemző Gyors eredmény Elemzi és felbontja a kód fájlokat Átalakítja a PHP forráskódot egy program modellé és érzékeli az érzékeny részeket

Az open source verzió gyengesége, hogy aránylag sok a fals pozitív eredmény Az objektumorientáltság támogatásának hiánya szintén fals pozitív eredményekhez vezethet Web interface, minden hibát egy kód néző jelenít meg Segít a hibák megértésében

Vulnerability types Code Execution Command Execution Connection String Injection Cross-Site Scripting HTTP Response Splitting File Disclosure File Inclusion File Manipulation LDAP Injection PHP Object Injection SQL Injection XPath Injection

Verbosity level User tainted only – potenciálisan sérült függvények biztonsági intézkedések nélkül File/DB tainted – fájlok és lokális DB hibák Show secured – potenciálisan sérült függvények biztonsági intézkedésekkel Untainted – további információk a kódszerkezetről Debug mode – az összes potenciálisan sérült függvény

Options Code Viewer Hide a specific code trace Exploit Creator Description, example code Data leak check

Demó

Források http://www.darknet.org.uk/2014/10/rips-static-source-code-analysis-for-php-vulnerabilities/ https://www.ripstech.com/ http://www.slideshare.net/chirilasorina/rips-27812908 http://rips-scanner.sourceforge.net/

Köszönöm a figyelmet!