本文目錄一覽:
rips中如何使用PHP虛擬機自帶函數
?php$tokens = token_get_all(‘?php echo(123); ?’);for($i=0 ; $icount($tokens);$i++){ for($j=1 ; $jcount($tokens[$i]);$j++){ echo “/br”;//token_name可以將數字表示的字符串的類型轉化為php中固定名稱,此函數PHP自帶
$token_name = token_name($tokens[$i][0]); echo $token_name; echo “/br”;
echo htmlspecialchars($tokens[$i][$j]);
}
}?
當前市面上的代碼審計工具哪個比較好?
第一類:Seay源代碼審計系統
這是基於C#語言開發的一款針對PHP代碼安全性審計的系統,主要運行於Windows系統上。這款軟件能夠發現SQL注入、代碼執行、命令執行、文件包含、文件上傳、繞過轉義防護、拒絕服務、XSS跨站、信息泄露、任意URL跳轉等漏洞,基本上覆蓋常見的PHP漏洞。在功能上,它支持一鍵審計、代碼調試、函數定位、插件擴展、自定會規則配置、代碼高亮、編碼調試轉換、數據庫執行監控等數十項強大功能。
第二類:Fortify SCA
Fortify
SCA是由惠普研發的一款商業軟件產品,針對源代碼進行專業的白盒安全審計。當然,它是收費的,而且這種商業軟件一般都價格不菲。它有Windows、Linux、Unix以及Mac版本,通過內置的五大主要分析引擎對應用軟件的源代碼進行靜態分析。
第三類:RIPS
RIPS是一款基於PHP開發的針對PHP代碼安全審計的軟件。另外,它也是一款開源軟件,由國外安全研究員開發,程序只有450KB,目前能下載到的最新版本是0.54,不過這款程序已經停止更新了。它最大的亮點在於調用了PHP內置解析器接口token_get_all,並且使用Parser做了語法分析,實現了跨文件的變量及函數追蹤,掃描結果中非常直觀地展示了漏洞形成及變量傳遞過程,誤報率非常低。RIPS能夠發現SQL注入、XSS跨站、文件包含、代碼執行、文件讀取等多種漏洞,文件多種樣式的代碼高亮。
php代碼檢查工具rips-0.55怎麼使用
安裝使用也非常簡單,解壓後把代碼FTP到網站上就可以了,最好是給RIPS一個獨立的目錄,以便跟網站正式的代碼區分開。
上傳完後就可以按照你網站的域名和RIPS安裝的目錄通過URL瀏覽RIPS,
然後在path / file:輸入項中設定你要掃描的目錄,記得鉤上 subdirs 這個選項的複選框就可以點擊 scan 按鈕進行掃描檢測了。
掃描中會有進度顯示,並且非常佔用CUP,基本都是100%狀態在運行,1千多個文件掃描了3個多鐘頭。
原創文章,作者:VGHT,如若轉載,請註明出處:https://www.506064.com/zh-hk/n/141649.html
微信掃一掃 
支付寶掃一掃 