Đúng như tên gọi của nó, PHP Malware Scanner là một tiện ích Windows đơn giản và hiệu quả được thiết kế để giúp các nhà phát triển web phát hiện sự hiện diện của phần mềm độc hại không mong muốn trong các tệp PHP và JavaScript
Ứng dụng này được thiết kế để trở nên khiêm tốn và dễ truy cập nhất có thể, do đó, GUI dựa trên dòng lệnh đơn giản của nó. Nó cung cấp cho người dùng 3 tùy chọn cơ bản. 1. Quét phần mềm độc hại bằng báo cáo, 2. Quét phần mềm độc hại bằng báo cáo và cách ly, và 3. Tìm thấy. phần mềm độc hại ico
Sau quy trình cài đặt thông thường và khi khởi chạy tiện ích, người dùng sẽ được chào đón bởi một tập hợp thông tin hệ thống cơ bản như tên hệ điều hành, phiên bản hệ điều hành và chữ ký phần mềm độc hại
Sử dụng Trình quét phần mềm độc hại PHP rất đơn giản vì người dùng chỉ cần sao chép nguồn trang web của họ vào bất kỳ thư mục nào và chạy Trình quét phần mềm độc hại PHP để quét thư mục nói trên. Chỉ cần khởi chạy ứng dụng và chọn một trong ba phương pháp được cung cấp
Quy trình quét kết thúc bằng việc ứng dụng cung cấp cho người dùng một báo cáo toàn diện bao gồm các chi tiết về số lượng tệp và thư mục được quét, bộ nhớ đã sử dụng, số lượng tệp lớn bị bỏ qua, nhiều phần mềm quảng cáo hoặc liên kết spam
Hơn nữa, tiện ích cũng hiển thị một báo cáo về tất cả các chữ ký shell script quan trọng được phát hiện, cũng như một danh sách các cảnh báo khác nhau
Nhìn chung, mặc dù nó có thể không phải là ứng dụng hấp dẫn trực quan nhất hiện có, nhưng PHP Malware Scanner là một ứng dụng nhỏ hữu ích sẽ có ích cho các nhà phát triển web nghiệp dư làm việc với PHP và JavaScript
PHP thống trị web, với khoảng 80% thị phần. Nó ở khắp mọi nơi – WordPress, Joomla, Lavarel, Drupal, v.v.
Lõi PHP là an toàn, nhưng còn nhiều thứ khác ngoài lõi này mà bạn có thể đang sử dụng và có thể dễ bị tấn công. Sau khi phát triển một trang web hoặc ứng dụng web phức tạp, hầu hết các nhà phát triển và chủ sở hữu trang web tập trung vào chức năng, thiết kế, SEO và họ quên mất thành phần thiết yếu – bảo mật
Cách tốt nhất là bạn nên cân nhắc thực hiện quét bảo mật đối với ứng dụng của mình trước khi đưa vào hoạt động. Điều này áp dụng cho bất kỳ trang web nào – nhỏ hay lớn. Có một số công cụ để giúp bạn với điều đó
PMF
PHP Malware Finder [PMF] là một giải pháp tự lưu trữ để giúp bạn tìm các mã độc hại có thể có trong các tệp. Nó được biết là phát hiện tinh ranh, bộ mã hóa, obfuscators, web shellcode
PMF tận dụng YARA, vì vậy bạn cần điều đó như một điều kiện tiên quyết để chạy thử nghiệm
RIPS
RIPS là một trong những công cụ phân tích mã tĩnh PHP phổ biến được tích hợp trong suốt vòng đời phát triển để tìm ra các vấn đề bảo mật trong thời gian thực. Bạn có thể phân loại phát hiện theo tiêu chuẩn và tuân thủ ngành để ưu tiên các bản sửa lỗi
- Top 10 của OWASP
- Sans hàng đầu 25
- PCI DSS
- HIPAA
Hãy cùng xem một số tính năng sau
- Xác định rủi ro dựa trên mức độ nghiêm trọng và tùy chọn để xác định trọng số cho mức quan trọng, cao, trung bình và thấp
- Hợp tác điều tra và ưu tiên vấn đề
- Hiểu tác động của lỗ hổng
- Đánh giá rủi ro bảo mật giữa mã cũ và mã mới
- Tạo danh sách việc cần làm và phân công nhiệm vụ bằng hệ thống bán vé
RIPS cho phép bạn xuất báo cáo kết quả quét thành nhiều định dạng – PDF, CSV và các định dạng khác bằng cách sử dụng API RESTful
Nó có sẵn dưới dạng mô hình SaaS và tự lưu trữ. Vì vậy, chọn những gì làm việc cho bạn
SonarPHP
SonarPHP của SonarSource sử dụng kỹ thuật khớp mẫu, luồng dữ liệu để tìm lỗ hổng trong mã PHP. Nó là một bộ phân tích mã tĩnh và tích hợp với Eclipse, IntelliJ
SonarSource kiểm tra mã theo hơn 140 quy tắc và nó cũng hỗ trợ các quy tắc tùy chỉnh được viết bằng Java
Exakat
Công cụ phân tích mã tĩnh theo thời gian thực để kiểm tra tính tuân thủ, rủi ro và củng cố các phương pháp hay nhất. Exakat có hơn 450 công cụ phân tích dành riêng cho PHP. Có các bộ phân tích dành riêng cho khung như WordPress, CakePHP, Zend, v.v.
Nếu bạn có mã ứng dụng PHP của mình trong GitHub, thì bạn có thể sử dụng trình phân tích công khai của họ, nếu không, bạn có thể chọn tải xuống hoặc sử dụng trực tuyến dựa trên đám mây
Với sự trợ giúp của Exakat, bạn có thể tích hợp bảo mật vĩnh cửu vào ứng dụng của mình và những điều sau
- Đánh giá mã tự động với hơn 100 quy tắc
- sẵn sàng tuân thủ
- Tự động hóa tài liệu mã của bạn
- Di chuyển PHP 7 dễ dàng
Với báo cáo mạnh mẽ, bạn có thể ưu tiên khắc phục
PHPStan
PHPStan là một công cụ tuyệt vời để tìm lỗi khi bạn viết mã. Bạn không cần phải chạy bất cứ thứ gì
Bạn có thể thử phiên bản trực tuyến tại đây
PHPStan yêu cầu 7. 1 hoặc phiên bản cao hơn và nhà soạn nhạc để sử dụng nó. Tuy nhiên, nó có khả năng phát hiện lỗi từ phiên bản cũ hơn
thánh vịnh
Được xây dựng dựa trên Trình phân tích cú pháp PHP, Psalm rất tốt để tìm lỗi và giúp duy trì tính nhất quán cho một ứng dụng an toàn và tốt hơn
tiên tri
Trình phân tích tĩnh Progpilot cho phép bạn chỉ định loại phân tích như GET, POST, COOKIE, SHELL_EXEC, v.v. Hiện tại nó hỗ trợ khung suiteCRM và CodeIgniter
Thợ săn lỗ hổng PHP
Một fuzzer để tìm kiếm các lỗ hổng bằng cách sử dụng phân tích tĩnh và động. Thợ săn này có khả năng săn những thứ sau
- Tập lệnh chéo trang
- tiêm SQL
- Đọc tệp tùy ý và thực thi lệnh
- Bao gồm tệp cục bộ
- Tiết lộ đường dẫn đầy đủ
Quá trình quét được thực hiện theo ba giai đoạn - khởi tạo, quét và hủy khởi tạo
Grabber
Grabber, một công cụ dựa trên python để thực hiện phân tích kết hợp trên ứng dụng dựa trên PHP bằng PHP-SAT
giao hưởng
Giám sát bảo mật của Symfony hoạt động với bất kỳ dự án PHP nào bằng trình soạn thảo. Nó là cơ sở dữ liệu tư vấn bảo mật PHP cho các lỗ hổng đã biết. Bạn có thể sử dụng PHP-CLI, Symfony-CLI hoặc dựa trên web để kiểm tra trình soạn thảo. lock đối với mọi sự cố đã biết với các thư viện bạn đang sử dụng trong dự án
Symfony cũng cung cấp dịch vụ thông báo bảo mật. Điều đó có nghĩa là bạn có thể tải lên nhà soạn nhạc của mình. lock và bất cứ khi nào trong tương lai, bất kỳ thư viện đã sử dụng nào bị phát hiện có lỗ hổng, bạn sẽ nhận được thông báo
Phần kết luận
Tôi hy vọng bằng cách sử dụng các công cụ trên, bạn làm cho các ứng dụng PHP của mình an toàn hơn. Tất cả các công cụ được liệt kê đều tập trung vào việc phân tích mã nguồn và nếu bạn cần thêm, hãy xem trình quét bảo mật nguồn mở
Khi ứng dụng của bạn đã sẵn sàng, đừng quên thêm WAF dựa trên đám mây để bảo mật liên tục từ mạng biên