【发布时间】:2011-04-18 18:47:47
【问题描述】:
我需要确保我管理的 PHP 站点没有任何常见的 PHP 缺陷,例如 SQL 注入、错误配置的文件和文件夹权限等。我所说的站点是指带有插件和模块的 Joomla 站点。手动进行此安全检查可能很耗时,并且可以每天运行自动测试以确保没有任何变化。
所以我的问题是,有什么好的自动化软件可以解决这个问题,还是我必须自己编写一个代码?
【问题讨论】:
-
如果有一个脚本来测试常见的安全漏洞就好了
【发布时间】:2011-04-18 18:47:47
【问题描述】:
使用模糊器是个好主意。但是,您也可以尝试自己编写一个自动化系统,因为这将提高您对 php 和 php 站点中的安全问题/漏洞的了解。
我会亲自使用 Google 的 Skipfish 并自己找出是否有问题,然后根据自己的需要和易用性构建自己的。祝你好运!
【讨论】:
-
Skipfish 的链接现在已经失效,根据他们的downloads page,最后一个(测试版..)版本似乎是 2012 年的 2.10。
这可以通过fuzzer 或web vulnerability scanner 来完成。
【讨论】:
我一直在用 netsparker http://www.mavitunasecurity.com/
不完全是你需要的,但它可以帮助很多:)
【讨论】:
你应该两者都做。检查您的代码并寻找可能的 SQL 注入等。
Google 发布了一个非常棒的工具,名为“Skipfish”,它可以扫描您的应用程序中常见的安全漏洞/攻击模式。
【讨论】:
要熟悉常见的网络安全漏洞,您还可以探索Webgoat
【讨论】:
您可以使用静态代码分析工具,例如RIPS 用于 PHP,用于分析您的完整源代码中的安全漏洞。从外部对您的网站进行模糊测试可能无法涵盖所有代码路径并忽略问题。
【讨论】:
我怀疑是否有任何东西——好的(所以,100% 可靠)——是自动化的。但是一个很好的话题可能是关于 SO 的这个话题,因为它列出了“历史安全漏洞”。
【讨论】:
RFI、LFI、SQL 注入,太多讨论,可能太无聊,无法一一阅读。我建议你改用模糊器。有很多免费的,这里有一篇关于它的 wiki 文章:http://en.wikipedia.org/wiki/Fuzz_testing
【讨论】:
这是一个新的很好的测试工具,它可以被 web 开发人员、渗透测试人员甚至安全研究人员用来测试 web 应用程序,以发现错误、错误或漏洞。值得一试 Commix
【讨论】: