phpscan

أداة تحليل ثابت لـ PHP.
رمز PSEUDO-EXECUTES PHP للكشف عن نقاط الضعف.

لديها الميزات التالية:

• يدعم PHP الموجهة للكائن
• انعكاس متوافق
• تحديد الضعف من خلال النظر في ما إذا كانت هناك عملية هروب أم لا

يمكن التحقق من نقاط الضعف التالية:

• تنفيذ الرمز البعيد
• إدراج الملف المحلي
• حقن SQL
• معالجة المسار
• طلب جانب الخادم تزوير
• برنامج البرمجة النصية عبر الموقع
• حقن الكائن
• معالجة ملف PHP
• كيان خارجي XML

نتائج الاختبار هي الإخراج كتقارير HTML.
يصف تقرير التفتيش مسار المكالمة من النقطة التي يتم فيها تعيين قيمة إدخال المستخدم لأول مرة إلى النقطة التي يتم فيها استخدامها في وظيفة خطيرة.

تم تأكيد العمل في البيئات التالية:

• OS: Ubuntu 18.04
• الوسيطة: JDK1.8.0_242

تشغيل gradlew build يخلق دليل PHPSCAN-1.0-SNAPSHOT.

يشرح هذا المثال كيفية فحص المكون الإضافي CMS.

1. فتح الإعداد. properties في محرر نص.
2. أدخل المسار إلى دليل البرنامج المساعد في entry_point_path.
3. أدخل المسار إلى الدليل على CMS نفسه في Project_Path.
4. أدخل المسار إلى ملف php.ini في php_ini_path.
5. عند تنفيذ phpscan-1.0-SNAPSHOT/bin/phpscan ، فإنه سيقوم بفحص ملفات PHP في دليل البرنامج المساعد.
6. إذا كان هناك ضعف ، فسيتم إنشاء تقرير فحص في دليل النتائج.

يتم إجراء إعدادات التشغيل باستخدام الإعداد.

يحدد المسار إلى الدليل حيث توجد ملفات PHP التي سيتم فحصها.
يجب إدخال إما edter_point_path أو entry_point_parent_path.

تستخدم عند وجود undring_poath_paths متعددة.
يمكنك فحص مجموعة Entpl_point_path عن طريق وضع مجموعة intploint_path_path في دليل واحد وتحديد مسار الدليل في هذا الإدخال.
على سبيل المثال ، إذا كنت ترغب في فحص مكونات إضافية متعددة في نفس الوقت ، فحدد المسار إلى الدليل حيث توجد أدلة البرنامج المساعد.
يجب إدخال إما edter_point_path أو entry_point_parent_path.

حدد المسار إلى الدليل حيث توجد ملفات PHP المطلوبة لتشغيل ملف PHP المطلوب فحصها.
لا تخضع ملفات PHP في هذا الدليل للتفتيش.
على سبيل المثال ، إذا كنت تفحص مكونًا إضافيًا لـ CMS ، فحدد المسار إلى الدليل على CMS نفسه في هذا العنصر.
إذا لم يتم تحديدها ، يتم استخدام أحد القيم edration_poph_path و entry_point_parent_path.

حدد المسار إلى ملف php.ini.
هذه الحقول المطلوبة.

حدد مسار الملف النصي الذي يحتوي على مسار ملف PHP المراد استبعاده من التفتيش.

حدد المسارات المراد استبعادها من الشيك باستخدام التعبيرات العادية.
يمكن تحديد عناصر متعددة مفصولة بفواصل.

حدد اسم الوظيفة إذا كان التطبيق الخاص بك ينفذ وظيفته الخاصة التي تفلت من سلسلة في عبارة SQL.
يمكن تحديد عناصر متعددة مفصولة بفواصل.

حدد اسم الوظيفة إذا كان التطبيق الخاص بك ينفذ وظيفته الخاصة التي تفلت من سلاسل HTML.
يمكن تحديد عناصر متعددة مفصولة بفواصل.

يحدد فئات نقاط الضعف التي سيتم استبعادها من التفتيش.
لن يتم عرض الفئة المحددة في تقرير التفتيش.

القيم المحتملة هي كما يلي:

• تنفيذ الرمز البعيد
• إدراج الملف المحلي
• حقن SQL
• معالجة المسار
• طلب جانب الخادم تزوير
• برنامج البرمجة النصية عبر الموقع
• حقن الكائن
• معالجة ملف PHP

يمكن تحديد عناصر متعددة مفصولة بفواصل.

هذا يسرد الامتداد المعترف به كملف PHP.
يمكن تحديد عناصر متعددة مفصولة بفواصل.
إذا لم يتم تحديدها ، فسيتم التعرف على امتدادان ، PHP و Inc ، كملفات PHP.

يحدد الإطار ، CMS الذي يستخدمه التطبيق.
من خلال تحديد هذا ، يمكنك تحسين شمولية الاختبار.

القيم المحتملة هي كما يلي:

• وورد

يمكن تحديد عناصر متعددة مفصولة بفواصل.

جميع نقاط الضعف المدرجة في المواقع التالية ، تم اكتشاف العناصر المتعلقة بـ PHP على PHPSCAN.

http://jvndb.jvn.jp/search/index.php؟mode=_vulnerability_search_ia_vulnsearch&lang=ja&useSeSynowy=1&Keyword=٪90٪F3٪88٪800٪40٪40٪92

إنه غير متوافق مع ميزات PHP7.

يتم إصدار هذا البرنامج بموجب ترخيص معهد ماساتشوستس للتكنولوجيا ، انظر الترخيص.