Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
KiadtaGergely Jónás Megváltozta több, mint 6 éve
1
Static Source Code Analysis For PHP Vulnerabilities
RIPS Static Source Code Analysis For PHP Vulnerabilities
2
Open source (fizetős verzió https://www.ripstech.com/)
Legújabb verzió: 0.55 ( Statikus kódelemző Gyors eredmény Elemzi és felbontja a kód fájlokat Átalakítja a PHP forráskódot egy program modellé és érzékeli az érzékeny részeket
3
Az open source verzió gyengesége, hogy aránylag sok a fals pozitív eredmény
Az objektumorientáltság támogatásának hiánya szintén fals pozitív eredményekhez vezethet Web interface, minden hibát egy kód néző jelenít meg Segít a hibák megértésében
4
Vulnerability types Code Execution Command Execution
Connection String Injection Cross-Site Scripting HTTP Response Splitting File Disclosure File Inclusion File Manipulation LDAP Injection PHP Object Injection SQL Injection XPath Injection
5
Verbosity level User tainted only – potenciálisan sérült függvények biztonsági intézkedések nélkül File/DB tainted – fájlok és lokális DB hibák Show secured – potenciálisan sérült függvények biztonsági intézkedésekkel Untainted – további információk a kódszerkezetről Debug mode – az összes potenciálisan sérült függvény
6
Options Code Viewer Hide a specific code trace Exploit Creator Description, example code Data leak check
7
Demó
8
Források
9
Köszönöm a figyelmet!
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.