1. casa
  2. Domanda e risposta
  3. Come posso testare la sicurezza del sito PHP per i più comuni difetti di sicurezza?

Come posso testare la sicurezza del sito PHP per i più comuni difetti di sicurezza?

2010-09-29 12 views
28

Ho bisogno di assicurarmi che i siti PHP che amministro, non abbiano difetti comuni di PHP, come SQL injection, permessi configurati erroneamente su file e cartelle, ecc. Per sito intendo per esempio il sito Joomla con plugin e moduli. Effettuare manualmente questo controllo di sicurezza può richiedere molto tempo e il test automatico può essere eseguito su base giornaliera per accertarsi che nulla sia cambiato.Come posso testare la sicurezza del sito PHP per i più comuni difetti di sicurezza?

Quindi la mia domanda è che c'è qualche buon software automatizzato per questo o devo codificarne uno da solo?

fonte

2010-09-29 newbie

+0

Sarebbe bello avere uno script per testare i difetti di sicurezza comuni –

risposta

8

L'uso di un fuzzer è una buona idea. Potresti anche provare a codificare un sistema automatico autonomamente, in quanto ciò aumenterà le tue conoscenze su php e problemi di sicurezza/loop hole nei tuoi siti php.

Personalmente userò Google Skipfish e scoprirò da solo se ci sono problemi, quindi costruisci il tuo proprio per le tue esigenze e facilità d'uso. In bocca al lupo!

fonte

2010-09-29 15:42:10 ryryan

+0

Il collegamento a Skipfish è morto ora, in base alla loro [pagina di download] (https://code.google.com/archive/p/skipfish/downloads) l'ultima versione (beta ..) sembra essere il 2,10 del 2012. – Code4R7

2

si dovrebbe fare entrambe le cose. Esamina il tuo codice e cerca eventuali Iniezioni SQL ecc.

Google ha rilasciato uno strumento molto bello denominato "Skipfish" che analizza la tua applicazione per fori di sicurezza/schemi di attacco comuni.

fonte

2010-09-29 11:37:45 halfdan

0

RFI, LFI, SQL Injection, troppi da discutere, e probabilmente troppo noiosi da leggere uno per uno. Ti suggerisco di usare invece una fuzzer. Ce ne sono molti gratuiti ed ecco un articolo su questo argomento: http://en.wikipedia.org/wiki/Fuzz_testing

fonte

2010-09-29 11:40:16 Ruel

1

Si consiglia di utilizzare il progetto open source wapiti che eseguirà il test per XSS, SQLi, LFI/RFI e molti altri. C'è anche il prodotto commerciale Sitewatch ($), e il migliore è NTOSpider ($$$$$).

fonte

2010-09-29 16:42:23 rook

1

Per familiarizzare con falle di sicurezza comune web, si può anche voler esplorare Webgoat

fonte

2010-09-29 18:46:13

0

Questo è un nuovo e valido strumento per testare, può essere utilizzato, da sviluppatori web, penetration tester o persino ricercatori di sicurezza per testare applicazioni web al fine di trovare bug, errori o vulnerabilità. Vale la pena di provare Commix

fonte

2015-04-08 13:44:26 StefanoWP

1

È possibile utilizzare uno strumento di analisi del codice statico, ad es. RIPS per PHP, per analizzare il tuo codice sorgente completo per difetti di sicurezza. Lo spostamento del tuo sito web dall'esterno potrebbe non coprire tutti i percorsi del codice e trascurare i problemi.

fonte

2016-08-26 07:08:41 Johannes

Problemi correlati

 Problemi correlati