phpscan
1.0.0
Ein statisches Analysetool für PHP.
Pseudo-Executes PHP-Code, um Schwachstellen zu erkennen.
Es hat die folgenden Funktionen:
Die folgenden Schwachstellen können überprüft werden:
Die Testergebnisse werden wie HTML -Berichte ausgegeben.
Der Inspektionsbericht beschreibt die Route des Aufrufs aus dem Punkt, an dem der Benutzereingabwert zuerst dem Punkt zugeordnet wird, an dem er in einer gefährlichen Funktion verwendet wird.
Es wurde bestätigt, dass es in den folgenden Umgebungen arbeitet:
Ausführender gradlew build erzeugt das Phpscan-1.0-Snapshot-Verzeichnis.
In diesem Beispiel wird erläutert, wie ein CMS-Plug-In inspiziert wird.
phpscan-1.0-SNAPSHOT/bin/phpscan ausgeführt wird, wird die PHP-Dateien im Plugin-Verzeichnis inspiziert.Die Betriebseinstellungen werden mit der Einstellung.Properties vorgenommen.
Gibt den Pfad zum Verzeichnis an, in dem sich die zu prüfenden PHP -Dateien befinden.
Sie müssen entweder Eintrag_Point_Path oder Eintrag_Point_parent_path eingeben.
Verwendet, wenn mehrere Einträge_Point_Paths existieren.
Sie können die Gruppe Eintrag_Point_Path inspizieren, indem Sie die Gruppe Eintrag_Point_Path in einem Verzeichnis platzieren und den Pfad des Verzeichnisses in diesem Eintrag angeben.
Wenn Sie beispielsweise mehrere Plugins gleichzeitig inspizieren möchten, geben Sie den Pfad zum Verzeichnis an, in dem sich die Plugin -Verzeichnisse befinden.
Sie müssen entweder Eintrag_Point_Path oder Eintrag_Point_parent_path eingeben.
Geben Sie den Pfad zum Verzeichnis an, in dem sich die PHP -Dateien, die zum Ausführen der zu prüfenden PHP -Datei erforderlich sind, lokalisiert sind.
PHP -Dateien in diesem Verzeichnis unterliegen nicht der Inspektion.
Wenn Sie beispielsweise ein CMS-Plug-In inspizieren, geben Sie den Pfad zum Verzeichnis des CMS selbst in diesem Element an.
Wenn dies nicht angegeben ist, wird einer der Werte eintriebs_path und Eintrag_Point_Parent_Path verwendet.
Geben Sie den Pfad zur Datei php.ini an.
Dies sind erforderliche Felder.
Geben Sie den Pfad der Textdatei an, die den Pfad der PHP -Datei enthält, die von der Inspektion ausgeschlossen werden soll.
Geben Sie die Pfade an, die mit regulären Ausdrücken aus dem Scheck ausgeschlossen werden sollen.
Mehrere Elemente können durch Kommas getrennt angegeben werden.
Geben Sie den Funktionsnamen an, wenn Ihre Anwendung eine eigene Funktion implementiert, die einer Zeichenfolge in einer SQL -Anweisung entgeht.
Mehrere Elemente können durch Kommas getrennt angegeben werden.
Geben Sie den Funktionsnamen an, wenn Ihre Anwendung seine eigene Funktion implementiert, die HTML -Zeichenfolgen entgeht.
Mehrere Elemente können durch Kommas getrennt angegeben werden.
Gibt die Kategorien von Schwachstellen an, die von der Inspektion ausgeschlossen werden sollen.
Die angegebene Kategorie wird im Inspektionsbericht nicht angezeigt.
Die möglichen Werte sind wie folgt:
Mehrere Elemente können durch Kommas getrennt angegeben werden.
Dies listet die Erweiterung auf, die als PHP -Datei erkannt wird.
Mehrere Elemente können durch Kommas getrennt angegeben werden.
Wenn nicht angegeben, werden zwei Erweiterungen, PHP und Inc, als PHP -Dateien erkannt.
Gibt das Framework an, CMS, das die Anwendung verwendet.
Durch die Angabe können Sie die Vollständigkeit des Tests verbessern.
Die möglichen Werte sind wie folgt:
Mehrere Elemente können durch Kommas getrennt angegeben werden.
Alle an den folgenden Websites aufgeführten Schwachstellen wurden auf PHPSCAN entdeckt.
http://jvndb.jvn.jp/search/index.php?mode=_vulnerability_search_ia_vulnsearch&lang=ja&useSynonym=1&keyword=%90%f3%8%81%8c%92
Es ist nicht mit PHP7 -Funktionen kompatibel.
Diese Software wird unter der MIT -Lizenz veröffentlicht, siehe Lizenz.txt.
