RIPS: 自动分析PHP程式码中的安全漏洞

系统开发员整天提心吊胆程式有否安全漏洞,用人手检查程式码非常费时失事,加上限于经验和知识,总难免挂一漏万,Johannes Dahse开发的RIPS把这种闷蛋的检查工作自动化,可能对你有帮助。

RIPS 可以做什么?

根据官方网站的资料,RIPS 透过分析PHP 程式码,可以征测以下安全漏洞:

  • 执行程式码(code execution)
  • 执行命令(command execution)
  • 跨网站攻击程式(cross site scripting)
  • 标头注入攻击(header injection)
  • 档案泄露(file disclosure)
  • 档案包含(file inclusion)
  • 档案操作(file manipulation)
  • LDAP 注入攻击(LDAP injection)
  • SQL 注入攻击(SQL injection)
  • POP 反序列化(unserialize with POP)
  • XPath 注入攻击(XPath injection)
  • 其他

其他类似的工具

透过分析程式码来征测安全漏洞,RIPS 可能是第一个。 其他类似的工具例如W3AF 、 Subgraph Vega 、 Netsparker等等,都是透过模拟浏览器操作向网站搜寻及发送特别设计的URL和表单资料,来政策安全性漏洞。

发展状况

据原创者Johannes的个人网志 ,他使用RIPS参与The Gallery Project (一个用PHP写成的图片库管理系统)一个有奖的寻找安全漏洞竞赛,发现到三个漏洞,赢得800美元奖金。

RIPS自从2013年2月发表版本0.54后便没有更新, Johannes在网志上表示 ,现时RIPS的架构窒碍了它的进一步开发,其中对PHP语言的静态分析特别需要动大手术,新版本已经如火如荼进行,虽然尚未能向外公开,但内部测试显示它的效能比现在的版本更强大,功能更多,错误率更低

打赏此文

如果您觉得本站的内容对您有所帮助,您可以扫描下面的二维码小额支付请我喝杯茶,感谢!打赏记录
支付宝
微信
承诺:凡打赏捐助的朋友,留言备注自己的邮箱,在打赏捐助时间点的6个月内,本站会每周邮件推送原创专业技术博文,供大家学习和参考!

留下评论

All fields marked (*) are required