Софт для анализа безопасности PHP кода

0

3

Доброго дня всем.

Повадились у меня одного из клиентов ломать время от времени. CMS у него собственная, написанная на PHP. На 99.9999% есть уверенность что какер использует уязвимость в коде. Вопрос - существует ли софт (чёрт возьми, я уверен что такой должен существовать), который может провести анализ кода на наличие проблемных мест? Хочется что бы выглядело это примерно так - «натравил» программу на каталог, она рекурсивно проверила все php файлы в этом и вложенных каталогах и выдала результат типа «В таком-то файле, в таких-то строках есть вероятность присутствия такой-то проблемы. Подрбнее о проблеме смотреть там-то.»

Спасибо.

P. S. В гугле был, несколько обзорных статей нашёл, ПО от туда буду проверять, но хочется услышать мнение и рекомендации людей, которые с подобными утилитами работали.

Ссылка

←	Уязвимости derbyjs и meteorjs

Цвета LOR'a на всех сайтах.

→

Уязвимости они не в коде, они в программе. Разница принципиальна.
Ищут их компетентные люди. В Development такие водятся, может помогут.

~~moscwich~~ ★
(12.06.13 14:06:45 MSK)

ai-bolit и подобные. Мне правда не помог - пришлось руками ковырять. У меня файлик gif залили с php кодом на конце.

ziemin ★★
(12.06.13 14:07:46 MSK)

Ответ на: комментарий от ziemin 12.06.13 14:07:46 MSK

Видимо я не совсем корректно описал ситуацию... Мне нужен не поиск шелла/зловреда, с ними ситуация ясна и набор софта для этого есть. Мне нужен именно анализатор, который показал бы что вот в таком-то месте кода, потенциально, могут быть проблемы.

kp ★
(12.06.13 14:24:12 MSK) автор топика

Ссылка

Нормальных программ для поиска дыр в коде нет.
Если и есть такой софт то предназначен он опять-же для пхп-программистов которые понимают суть дела.
Варианта тут три:

Сделать последнее китайское предупреждение и заставить клиента обезопасить сайт
Избавиться от клиента с его проблемами
Установить на сайт веб-фаирвол (WAF) который будет фильтровать входные GET/POST/COOKIE/FILE параметры. Некоторые виды таких фаирволов подключается через пхп-опцию auto_prepend_file и таким образом защищают все пхп-скрипты. В настройках виртуального хоста делаешь php_admin_value auto_prepend_file /path/to/firewall.php чтобы клиент не мог избавиться от фаирвола. У меня есть такой фаирвол, которым я защищаю дырявые скрипты (phpBB, wordpress). Могу дать, но он самописанный и его надо затачивать под определённый сайт.

pascal9x
(12.06.13 14:26:01 MSK)

Ответ на: комментарий от moscwich 12.06.13 14:06:45 MSK

В данном случае в софте на сервере я уверен на 101% (хотя бы потому, что был сделан реинсталл и сайт на свеженастроенный сервер был перенесён вручную), как и в настройке самого сервера.

Уязвимости, они и в коде тоже бывают, но этот вопрос - это уже отдельная линия обсуждения и она за рамки созданной темы выходит.

kp ★
(12.06.13 14:27:44 MSK) автор топика

Ссылка

Ответ на: комментарий от pascal9x 12.06.13 14:26:01 MSK

Сделать последнее китайское предупреждение и заставить клиента обезопасить сайт

Честно признался что не знает где может быть проблема. Возможно не хватает квалификации.

Избавиться от клиента с его проблемами

Это всегда можно сделать, но клиент положительный, и просто так отказываться от него не хочется.

Установить на сайт веб-фаирвол (WAF) который будет фильтровать входные GET/POST/COOKIE/FILE параметры. Некоторые виды таких фаирволов подключается через пхп-опцию auto_prepend_file и таким образом защищают все пхп-скрипты. В настройках виртуального хоста делаешь php_admin_value auto_prepend_file /path/to/firewall.php чтобы клиент не мог избавиться от фаирвола.

Вот за эту наводку - спасибо. Буду читать о таких фаерволах.

kp ★
(12.06.13 14:30:40 MSK) автор топика

Ссылка

Skipfish, Spike PHP Security Audit Tool, RIPS

gwinn ★★★★
(12.06.13 16:00:20 MSK)

Ссылка

https://github.com/facebook/pfff/wiki/Main

Anatolik ★★
(12.06.13 16:22:02 MSK)

Ссылка

Nessus большую часть уязвимостей не связанную с логикой находит. Если есть подозрения на sql инъекцию - sqlmap. Вроде, есть свободная альтернатива несусу - OpenVAS.

~~Sense~~ ☆
(12.06.13 16:45:47 MSK)

Ссылка

Боюсь что даже можно показать, что такой анализатор невозможен.

Suntechnic ★★★★★
(12.06.13 17:14:46 MSK)

Ссылка

Спасибо всем. Буду изучать.

kp ★
(12.06.13 19:59:03 MSK) автор топика

Ответ на: комментарий от kp 12.06.13 19:59:03 MSK

Спасибо всем. Буду изучать.

То что ты ищешь называется: «Статический анализ кода»
http://stackoverflow.com/questions/378959/is-there-a-static-code-analyzer-lik...

тут целая куча.

BaBL ★★★★★
(16.06.13 12:30:38 MSK)

Мозг^W ах да, извините, нет, такого нет.

anonymous
(16.06.13 12:55:29 MSK)

Ответ на: комментарий от anonymous 16.06.13 12:55:29 MSK

Вот и я не понимаю зачем при его отсутсвии проходящий мимо анонимус в тему лезет. :)

kp ★
(16.06.13 13:08:09 MSK) автор топика

Ссылка

Ответ на: комментарий от BaBL 16.06.13 12:30:38 MSK

Спасибо.

kp ★
(16.06.13 13:09:22 MSK) автор топика

Ссылка

http://pear.php.net/package/PHP_CodeSniffer

Обычно используется в IDE (emacs, eclipse, netbeans) как команда компиляции или проверка на лету, но после доработки напильником поможет выявить «запашок» и некоторые потенциально проблемные места.

Еще к нему есть плагины типа Varcheck (PHP_CodeSniffer plugin)

Ну и поиск характерных мест рулит: инклуды, глобальные переменные, обработка путей, sql-инъекции (признак: отсутствие команд prepare при работе с БД), подстановка переменных в «двойных кавычках», обработка $_POST, $_GET, [$_SERVER], upload, eval, настройки ini: вывод ошибок.

Незабывай если это для версии php до 5.3, то разработчики официально объявили ее не поддерживаемой. Это означает, что если есть «консерваторные баги», то защита практически бесполезна или равносильна тасканию воды в решете.

Гугли тему php lint.

swwwfactory ★★
(16.06.13 13:19:11 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Уязвимости derbyjs и meteorjs

Web-development

Цвета LOR'a на всех сайтах.

→

Похожие темы