phpscan
1.0.0
Una herramienta de análisis estático para PHP.
Pseudo-Ejecuta el código PHP para detectar vulnerabilidades.
Tiene las siguientes características:
Se pueden verificar las siguientes vulnerabilidades:
Los resultados de la prueba se emiten como informes HTML.
El informe de inspección describe la ruta de la llamada desde el punto donde el valor de entrada del usuario se asigna primero al punto donde se usa en una función peligrosa.
Se ha confirmado que funciona en los siguientes entornos:
Ejecutar gradlew build crea el directorio phpscan-1.0-snapshot.
Este ejemplo explica cómo inspeccionar un complemento CMS.
phpscan-1.0-SNAPSHOT/bin/phpscan , inspeccionará los archivos PHP en el directorio de complementos.La configuración de operación se realiza con la configuración. Properties.
Especifica la ruta al directorio donde se encuentran los archivos PHP a inspeccionar.
Debe ingresar Entry_Point_Path o Entry_Point_Parent_Path.
Se usa cuando existen múltiples entry_point_paths.
Puede inspeccionar el grupo Entrada_Point_Path colocando el grupo Entry_Point_Path en un directorio y especificando la ruta del directorio en esta entrada.
Por ejemplo, si desea inspeccionar múltiples complementos al mismo tiempo, especifique la ruta al directorio donde se encuentran los directorios de complementos.
Debe ingresar Entry_Point_Path o Entry_Point_Parent_Path.
Especifique la ruta al directorio donde se encuentran los archivos PHP requeridos para ejecutar el archivo PHP para inspeccionar.
Los archivos PHP en este directorio no están sujetos a inspección.
Por ejemplo, si está inspeccionando un complemento CMS, especifique la ruta al directorio en el CMS en este elemento.
Si no se especifica, se utiliza uno de los valores Entry_Point_Path y Entry_Point_Parent_Path.
Especifique la ruta al archivo php.ini.
Estos son campos requeridos.
Especifique la ruta del archivo de texto que contiene la ruta del archivo PHP que se excluirá de la inspección.
Especifique las rutas que se excluirán de la verificación utilizando expresiones regulares.
Se pueden especificar múltiples elementos separados por comas.
Especifique el nombre de la función si su aplicación implementa su propia función que escapa de una cadena en una instrucción SQL.
Se pueden especificar múltiples elementos separados por comas.
Especifique el nombre de la función si su aplicación implementa su propia función que escapa a las cadenas HTML.
Se pueden especificar múltiples elementos separados por comas.
Especifica las categorías de vulnerabilidades que se excluirán de la inspección.
La categoría especificada no se mostrará en el informe de inspección.
Los valores posibles son los siguientes:
Se pueden especificar múltiples elementos separados por comas.
Esto enumera la extensión que se reconoce como un archivo PHP.
Se pueden especificar múltiples elementos separados por comas.
Si no se especifica, dos extensiones, PHP e Inc, serán reconocidas como archivos PHP.
Especifica el marco, CMS que la aplicación está utilizando.
Al especificar esto, puede mejorar la amplitud de la prueba.
Los valores posibles son los siguientes:
Se pueden especificar múltiples elementos separados por comas.
Todas las vulnerabilidades que figuran en los siguientes sitios, se han descubierto elementos relacionados con PHP en PhPSCan.
http://jvndb.jvn.jp/search/index.php?mode=_vulnerability_search_ia_vulnsearch&lang=ja&usesynonym=1&keyword=%90%f3%88%E4%81%40%8C%92
No es compatible con las características de PHP7.
Este software se lanza bajo la licencia MIT, ver License.txt.
