Startseite>JSP-Quellcode>Andere Kategorien
Herunterladen

Vulnycode - PHP -Code statische Analyse - veraltet

Euen Veraltet , Sie sollten SEMGREP-Regeln anstelle dieses Skripts verwenden: semgrep --config=./semgrep/ vulns/*.php Die meisten der in diesem Repository bereitgestellten SemGREP

Grundlegendes Skript zum Erkennen von Schwachstellen in einem PHP -Quellcode, es wird regelmäßig Ausdruck verwendet, um Dolinen zu finden. 

 # HELP
╭─ ? swissky@crashlab: ~ /Github/PHP_Code_Static_Analysis  ‹master * ›
╰─$ python3 index.py           
usage: index.py [-h] [--dir DIR] [--plain]

optional arguments:
  -h, --help  show this help message and exit
  --dir DIR   Directory to analyse
  --plain     No color in output

# Example
╭─ ? swissky@crashlab: ~ /Github/PHP_Code_Static_Analysis  ‹master * ›
╰─$ python3 index.py --dir vulns    
------------------------------------------------------------
Analyzing ' vulns ' source code
------------------------------------------------------------
Potential vulnerability found : File Inclusion
Line 19 in vulns/include.php
Code : include( $_GET [ ' patisserie ' ])
------------------------------------------------------------
Potential vulnerability found : Insecure E-mail
Line 2 in vulns/mail.php
Code : mail( $dest , " subject " , " message " , " " , " -f " . $_GET [ ' from ' ])
Declared at line 1 : $dest = $_GET [ ' who ' ] ;

Derzeit erkennen:

  • Willkürlicher Keks
  • Beliebige Datei -Löschung
  • Willkürlicher variabler Überschreiben
  • Cross Site Scripting
  • Dateieinschluss
  • Dateieinschluss / Pfad Traversal
  • Datei -Upload
  • Headerinjektion
  • Informationsleck
  • Unsichere E-Mail
  • Unsicher schwach zufällig
  • LDAP -Injektion
  • PHP -Objektinjektion
  • Remote -Code -Ausführung
  • Remote -Befehlsausführung
  • Serveranforderungsfälschung
  • Server -Seitenvorlageninjektion
  • SQL -Injektion
  • URL -Umleitung
  • Schwacher kryptografischer Hash
  • XML externe Entität
  • XPath -Injektion
  • Hartcodierte Anmeldeinformationen
  • Hoch -Entropie -Zeichenfolge

Wenn Sie jeden Schwachstellen in einen Ordner exportieren möchten, verwenden Sie "Export.sh".

Vergessen Sie nicht, die Lizenz zu lesen;)

Alternativen

  • RIPS - Ein statischer Quellcode -Analysator für Schwachstellen in PHP -Skripten
  • Cobra - Quellcode -Sicherheitsaudit
  • PHP -Parser in Python mit Ply geschrieben
  • Psalm - Ein statisches Analyse -Tool zum Auffinden von Fehlern in PHP -Anwendungen
Expandieren
Zusätzliche Informationen
Ähnliche Anwendungen
Empfohlen für Sie
Ähnliche Nachrichten Alle