想做一个整合开源安全代码扫描工具的代码安全分析平台
2014-03-16 10:22
736 查看
想做一个整合开源安全代码扫描工具的代码安全分析平台,之前研究的主要是Java方向的工具,如:
Find Security Bugs
http://automationqa.com/forum.php?mod=viewthread&tid=2803&fromuid=29
最近看的主要是PHP方向的工具:
RIPS
http://rips-scanner.sourceforge.net/
需要研究如何获取结果并转换,因为RIPS是基于网页输出结果的
PHP Security Audit Tool
http://sourceforge.net/projects/phpsecaudit/
使用方法:
C:\PHP Security Test\AUT\dvwa>PHP "C:\PHP Security Test\Tools\phpsecaudit\run.ph
p" --src .
发现不了太多问题!
PHP Security Scanner
http://sourceforge.net/projects/securityscanner/
使用方法
C:\PHPnow\htdocs\securityscanner\bin>php security_scan.php "C:\PHP Security Test
\AUT\dvwa" test1
生成的结果插入MySQL数据库
主要是通过查找关键字的方式定位问题,能找到的问题比较有限,大部分局限在危险函数使用上
SWAAT
https://www.owasp.org/index.php/Category:OWASP_SWAAT_Project
SWAAT was designed for the NET Framework 1.1.4322 or lower
可能是运行环境的问题,下载后运行不成功!
RATS
https://code.google.com/p/rough-auditing-tool-for-security/
This is RATS, a rough auditing tool for security, originally developed by Secure Software Inc. It is a tool for scanning C, C++, Perl, PHP, Python (and soon Ruby) source code and flagging common security related programming errors such as buffer overflows and TOCTOU (Time Of Check, Time Of Use) race conditions.
要build RATS 以来C语言版本的XML解析器Expat:
http://expat.sourceforge.net/
Yasca
http://sourceforge.net/projects/yasca/
整合了:
JLint(Java)
antiC(C/C++、JAVA)
Lint4J(Java)
PMD(Java、JSP)
FindBugs(Java、Jar)
Grep
可扩展插件(PHP、GREP、PMD)
Pixy
http://www.lengmo.net/read.php?486
https://security.web.cern.ch/security/recommendations/en/codetools/pixy.shtml
/PHP-sat
http://www.program-transformation.org/PHP/PhpSatDocumentation
貌似不容易下载安装
其他
-------------------------------
PHP Anti-Virus
http://sourceforge.net/projects/phpantivirus/
Scans your web server's file system for dangerous and malicious code in public HTML, PHP, CGI and text files, usually caused by defacement or security holes in shared hosting accounts.
并不针对代码安全漏洞,而是检查是否感染病毒、恶意代码等
在线PHP代码扫描工具
http://evuln.com/tools/php-security/
《PMD Applied》
http://www.pmdapplied.com/
小结
-------------------------------
针对PHP源代码安全扫描的开源工具不多,RIPS是相对好的一个,其他的很多只是简单查找危险函数关键字
Find Security Bugs
http://automationqa.com/forum.php?mod=viewthread&tid=2803&fromuid=29
最近看的主要是PHP方向的工具:
RIPS
http://rips-scanner.sourceforge.net/
需要研究如何获取结果并转换,因为RIPS是基于网页输出结果的
PHP Security Audit Tool
http://sourceforge.net/projects/phpsecaudit/
使用方法:
C:\PHP Security Test\AUT\dvwa>PHP "C:\PHP Security Test\Tools\phpsecaudit\run.ph
p" --src .
发现不了太多问题!
PHP Security Scanner
http://sourceforge.net/projects/securityscanner/
使用方法
C:\PHPnow\htdocs\securityscanner\bin>php security_scan.php "C:\PHP Security Test
\AUT\dvwa" test1
生成的结果插入MySQL数据库
主要是通过查找关键字的方式定位问题,能找到的问题比较有限,大部分局限在危险函数使用上
SWAAT
https://www.owasp.org/index.php/Category:OWASP_SWAAT_Project
SWAAT was designed for the NET Framework 1.1.4322 or lower
可能是运行环境的问题,下载后运行不成功!
RATS
https://code.google.com/p/rough-auditing-tool-for-security/
This is RATS, a rough auditing tool for security, originally developed by Secure Software Inc. It is a tool for scanning C, C++, Perl, PHP, Python (and soon Ruby) source code and flagging common security related programming errors such as buffer overflows and TOCTOU (Time Of Check, Time Of Use) race conditions.
要build RATS 以来C语言版本的XML解析器Expat:
http://expat.sourceforge.net/
Yasca
http://sourceforge.net/projects/yasca/
整合了:
JLint(Java)
antiC(C/C++、JAVA)
Lint4J(Java)
PMD(Java、JSP)
FindBugs(Java、Jar)
Grep
可扩展插件(PHP、GREP、PMD)
Pixy
http://www.lengmo.net/read.php?486
https://security.web.cern.ch/security/recommendations/en/codetools/pixy.shtml
/PHP-sat
http://www.program-transformation.org/PHP/PhpSatDocumentation
貌似不容易下载安装
其他
-------------------------------
PHP Anti-Virus
http://sourceforge.net/projects/phpantivirus/
Scans your web server's file system for dangerous and malicious code in public HTML, PHP, CGI and text files, usually caused by defacement or security holes in shared hosting accounts.
并不针对代码安全漏洞,而是检查是否感染病毒、恶意代码等
在线PHP代码扫描工具
http://evuln.com/tools/php-security/
《PMD Applied》
http://www.pmdapplied.com/
小结
-------------------------------
针对PHP源代码安全扫描的开源工具不多,RIPS是相对好的一个,其他的很多只是简单查找危险函数关键字
相关文章推荐
- Multiple markers at this line - The type java.lang.String cannot be resolved.
- java基础一些题目
- 蓝桥杯 第三届C/C++预赛真题(4) 奇怪的比赛(递归)
- 【LeetCode】Evaluate Reverse Polish Notation
- java中常用设计模式
- (libgdx学习)InputProcessor InputMultiplexer
- Unbuntu下安装Go环境
- 从“黑掉Github”学Web安全开发
- myeclipse和maven的结合
- Python快速教程 尾声
- LeetCode | Remove Duplicates from Sorted List II
- C#中补0
- Java是对象引用按值传递的
- LeetCode | Remove Duplicates from Sorted List
- ASPX和Ajax结合使用的例子
- C++重要知识点
- C++应用程序在Windows下的编译、链接(四)动态链接
- 一个很好的php分词类库
- C++中,cin和gets()的区别
- C++应用程序在Windows下的编译、链接:第三部分 静态链接(二)