Как я могу проверить безопасность сайта PHP для большинства распространенных недостатков безопасности?

Мне нужно убедиться, что PHP-сайты, которые я администрирую, не имеют общих ошибок PHP, таких как SQL-инъекция, неправильно настроенные разрешения для файлов и папок и т.д. По сайту я имею в виду, например, сайт Joomla с плагинами и модулями. Выполнение этой проверки безопасности вручную может занять много времени, и автоматическое тестирование может выполняться ежедневно, чтобы убедиться, что ничего не изменилось.

Итак, мой вопрос в том, есть ли какое-нибудь хорошее автоматизированное программное обеспечение для этого или я должен сам написать код?

Ответ 1

Использование fuzzer - хорошая идея. Но вы также можете попробовать самостоятельно кодировать автоматизированную систему, так как это повысит ваши знания о php и проблемах безопасности/петлевых дыр на ваших php-сайтах.

Я лично использовал Google Skipfish и узнал бы себя, если есть проблемы, а затем создайте свои собственные только для ваших нужд и удобства использования. Удачи!

Ответ 2

Это можно сделать с помощью fuzzer или сканер уязвимостей.

Ответ 3

Я использовал netsparker http://www.mavitunasecurity.com/

Не совсем то, что вам нужно, но это может многое помочь:)

Ответ 4

Вы должны сделать то и другое. Просмотрите свой код и найдите возможные SQL-инъекции и т.д.

Google выпустил очень хороший инструмент под названием " Skipfish", который сканирует ваше приложение на наличие общих дыр в безопасности/шаблонов атак.

Ответ 5

Я рекомендую использовать проект с открытым исходным кодом wapiti, который будет тестировать XSS, SQLi, LFI/RFI и многие другие. Существует также коммерческий продукт Sitewatch ($), а лучший NTOSpider ($$$$$).

Ответ 6

Чтобы ознакомиться с общими недостатками веб-безопасности, вы также можете изучить Webgoat

Ответ 7

Вы можете использовать инструмент анализа статического кода, например. RIPS для PHP, чтобы проанализировать ваш полный исходный код для уязвимостей безопасности. Fuzzing вашего сайта извне может не охватывать все пути кода и игнорировать проблемы.

Ответ 8

Я сомневаюсь, что там что-то хорошее (так, на 100% надежное) - это автоматизировано. Но хорошей темой для обсуждения может стать эта проблема на SO, поскольку в ней перечислены "исторические недостатки безопасности".

Исторические недостатки безопасности популярных PHP CMS?

Ответ 9

RFI, LFI, SQL Injection, слишком много для обсуждения и, вероятно, слишком скучно читать по одному. Я предлагаю вам вместо этого использовать fuzzer. Там много бесплатных и вот статья wiki об этом: http://en.wikipedia.org/wiki/Fuzz_testing

Ответ 10

Это новый и хороший инструмент для тестирования, который может быть использован от веб-разработчиков, тестировщиков проникновения или даже исследователей безопасности для тестирования веб-приложений с целью поиска ошибок, ошибок или уязвимостей. Стоит попробовать Commix