phpscan
1.0.0
Статический инструмент анализа для PHP.
Псевдооткрытие PHP-кода для обнаружения уязвимостей.
Он имеет следующие функции:
Следующие уязвимости можно проверить:
Результаты испытаний выводятся как отчеты HTML.
В отчете об инспекции описывается маршрут вызова с точки, где пользовательское входное значение сначала назначено точке, где он используется в опасной функции.
Было подтверждено, что в следующих средах работает:
Запуск gradlew build создает каталог PHPSCAN-1.0-SNAPSHOT.
Этот пример объясняет, как осмотреть плагин CMS.
phpscan-1.0-SNAPSHOT/bin/phpscan выполняется, он будет осматривать файлы PHP в каталоге плагина.Настройки работы выполняются с использованием настройки. Прозрачные.
Определяет путь к каталогу, где расположены файлы PHP, которые должны быть проверены.
Вы должны ввести либо urpovert_point_path, либо urpater_point_parent_path.
Используется, когда существует несколько intry_point_paths.
Вы можете проверить группу entry_point_path, поместив группу entry_point_path в одном каталоге и указав путь каталога в этой записи.
Например, если вы хотите проверить несколько плагинов одновременно, укажите путь к каталогу, где расположены каталоги плагинов.
Вы должны ввести либо urpovert_point_path, либо urpater_point_parent_path.
Укажите путь к каталогу, где расположены файлы PHP, необходимые для запуска файла PHP, для проверки.
Файлы PHP в этом каталоге не подлежат проверке.
Например, если вы осматриваете плагин CMS, укажите путь к каталогу на самом CMS в этом элементе.
Если не указано, используется один из значений urport_point_path и entry_point_parent_path.
Укажите путь к файлу php.ini.
Это требуются поля.
Укажите путь текстового файла, содержащего путь файла PHP, который должен быть исключен из проверки.
Укажите пути, которые должны быть исключены из проверки, используя регулярные выражения.
Несколько элементов могут быть указаны разделены запятыми.
Укажите имя функции, если ваше приложение реализует свою собственную функцию, которая избегает строки в операторе SQL.
Несколько элементов могут быть указаны разделены запятыми.
Укажите имя функции, если ваше приложение реализует свою собственную функцию, которая избегает строк HTML.
Несколько элементов могут быть указаны разделены запятыми.
Определяет категории уязвимостей, которые будут исключены из проверки.
Указанная категория не будет отображаться в отчете об инспекции.
Возможные значения следующие:
Несколько элементов могут быть указаны разделены запятыми.
В этом перечислены расширение, которое распознается как файл PHP.
Несколько элементов могут быть указаны разделены запятыми.
Если не указано, два расширения, PHP и Inc, будут распознаны как файлы PHP.
Определяет структуру, CMS, которую использует приложение.
Указав это, вы можете улучшить комплексность теста.
Возможные значения следующие:
Несколько элементов могут быть указаны разделены запятыми.
Все уязвимости, перечисленные на следующих сайтах, на PHPSCAN были обнаружены элементы, связанные с PHP.
http://jvndb.jvn.jp/search/index.php?mode=_vulnerability_search_ia_vulnsearch&lang=ja&usesynonym=1&keyword=%90%f3%88%E4%81%40%8C%92
Он не совместим с функциями PHP7.
Это программное обеспечение выпускается по лицензии MIT, см. License.txt.
