php代碼漏洞檢測工具,php代碼漏洞檢測工具下載

本文目錄一覽：

• 1、PHP中有什麼好的代碼自動檢查工具嗎
• 2、php代碼檢查工具rips-0.55怎麼使用
• 3、iis7.0解析漏洞 php用什麼軟體檢測
• 4、用什麼工具檢測php網站是否存在注入漏洞？
• 5、當前市面上的代碼審計工具哪個比較好?

PHP中有什麼好的代碼自動檢查工具嗎

通常的PHP集成開發軟體，如 PhpDesigner 、 Zend Studio、Eclipse 等等都內置有代碼檢查工具。如果想在外部進行PHP代碼檢查，可以參考以下資料： PHP Mess Detector( PHP項目體檢工具，根據你設定的標準（如單一文件代碼體積，未使用的參數個數，未使用的方法數）檢查PHP代碼，超出設定的標準時報警。 PHP Copy Paste Detector( 顧名思義，檢查冗餘代碼的 PHP Dead Code Detector( 看名字就知道了，檢查從未被調用過的方法 PHP Code Sniffer( 老牌代碼格式化工具，PHP寫的，Pear包，可自己hack，可集成到命令行里。 PHP Code Beautifier，只有Windows GUI，Windows CMD很難用

php代碼檢查工具rips-0.55怎麼使用

安裝使用也非常簡單，解壓後把代碼FTP到網站上就可以了，最好是給RIPS一個獨立的目錄，以便跟網站正式的代碼區分開。

上傳完後就可以按照你網站的域名和RIPS安裝的目錄通過URL瀏覽RIPS,

然後在path / file:輸入項中設定你要掃描的目錄，記得鉤上 subdirs 這個選項的複選框就可以點擊 scan 按鈕進行掃描檢測了。

掃描中會有進度顯示，並且非常佔用CUP,基本都是100%狀態在運行，1千多個文件掃描了3個多鐘頭。

iis7.0解析漏洞 php用什麼軟體檢測

本文利用了PHPCMS V9的兩個漏洞，一個是讀取任意文件漏洞，另一個是模版運行php腳本漏洞。使用到的工具：Navicat for Mysql/IE瀏覽器(建議使用代理)/湛藍v9代碼包（包含文中使用到的所有文件、代碼和木馬）

1、放置data.txt以備在目標站點讀取並在目標站點生成PHP木馬腳本使用。

例如將data.txt放置在yun.baidu.com/j0192/data.txt

2、通過v9漏洞獲取配置信息（請參閱：phpcms V9最新讀取站點任意文件漏洞）。

/index.php?m=searchc=indexa=public_get_suggest_keywordurl=asdfq=../../phpsso_server/caches/configs/database.php

3、通過v9系統漏洞獲取到的資料庫信息遠程登陸目標站點資料庫，在v9_admin和v9_sso_admin表中添加賬號

username欄位：admn

password欄位：10203d4623c1957d041818196ff9822a

encrypt 欄位：bGV22e

issuper 欄位: 1

4、通過資料庫添加管理員賬號後使用以下用戶名密碼在後台登陸，然後修改當前用戶密碼。

用戶名：admn

密碼：123456

5、ctrl+a複製write.php全部內容粘貼進v9默認模版下的footer.html保存，然後點擊footer.html的可視化運行該模版中的腳本，到此時就完成在目標站點生成木馬腳本。

6、打開ifeng.com/caches/caches_template/default/wap/data.class.php

用戶名：admin

密碼：admin

7、隱藏新增加的管理員。

通過木馬腳本上傳替換/phpcms/modules/admin/admin_manage.php(默認匹配%admn%)，然後登陸目標站點後台查看管理員列表是否還有用戶名為admn的超級管理員，如果沒有則表明我們完成了新加管理員的隱藏。

8、隱藏新增加的關聯鏈接

通過木馬腳本上傳替換/phpcms/modules/admin/keylink.php((默認匹配%skyhome%))

9、將目標網站的漏洞修復，以防其他黑客入侵。

通過木馬腳本上傳替換/phpcms/modules/search/index.php

防黑參考:

1、關閉資料庫遠程訪問。

2、靜態文件及附件等文件目錄禁止執行許可權。

3、腳本文件目錄禁止寫許可權。

4、系統後台等重要目錄限制IP訪問。

5、及時關注開源系統官方補丁升級和烏雲、sebug等漏洞發布平台，修復系統漏洞。

用什麼工具檢測php網站是否存在注入漏洞？

PHP的安全性現在是越來越好了PHP6。0版本都把存在的SQL漏洞都解決了

但是為了安全起見還是應該做安全檢測

檢測方法：SQL 注入法 、腳本代碼、參數傳遞等方法 具體情況參看PHP官方網站 安全篇章

當前市面上的代碼審計工具哪個比較好?

第一類：Seay源代碼審計系統

這是基於C#語言開發的一款針對PHP代碼安全性審計的系統，主要運行於Windows系統上。這款軟體能夠發現SQL注入、代碼執行、命令執行、文件包含、文件上傳、繞過轉義防護、拒絕服務、XSS跨站、信息泄露、任意URL跳轉等漏洞，基本上覆蓋常見的PHP漏洞。在功能上，它支持一鍵審計、代碼調試、函數定位、插件擴展、自定會規則配置、代碼高亮、編碼調試轉換、資料庫執行監控等數十項強大功能。

第二類：Fortify SCA

Fortify

SCA是由惠普研發的一款商業軟體產品，針對源代碼進行專業的白盒安全審計。當然，它是收費的，而且這種商業軟體一般都價格不菲。它有Windows、Linux、Unix以及Mac版本，通過內置的五大主要分析引擎對應用軟體的源代碼進行靜態分析。

第三類：RIPS

RIPS是一款基於PHP開發的針對PHP代碼安全審計的軟體。另外，它也是一款開源軟體，由國外安全研究員開發，程序只有450KB，目前能下載到的最新版本是0.54，不過這款程序已經停止更新了。它最大的亮點在於調用了PHP內置解析器介面token_get_all，並且使用Parser做了語法分析，實現了跨文件的變數及函數追蹤，掃描結果中非常直觀地展示了漏洞形成及變數傳遞過程，誤報率非常低。RIPS能夠發現SQL注入、XSS跨站、文件包含、代碼執行、文件讀取等多種漏洞，文件多種樣式的代碼高亮。