php代码漏洞检测工具,php代码漏洞检测工具下载

本文目录一览：

• 
  1、PHP中有什么好的代码自动检查工具吗
  


• 
  2、php代码检查工具rips-0.55怎么使用
  


• 
  3、iis7.0解析漏洞 php用什么软件检测
  


• 
  4、用什么工具检测php网站是否存在注入漏洞？
  


• 
  5、当前市面上的代码审计工具哪个比较好?
  

PHP中有什么好的代码自动检查工具吗

通常的PHP集成开发软件，如 PhpDesigner 、 Zend Studio、Eclipse 等等都内置有代码检查工具。如果想在外部进行PHP代码检查，可以参考以下资料： PHP Mess Detector( PHP项目体检工具，根据你设定的标准（如单一文件代码体积，未使用的参数个数，未使用的方法数）检查PHP代码，超出设定的标准时报警。 PHP Copy Paste Detector( 顾名思义，检查冗余代码的 PHP Dead Code Detector( 看名字就知道了，检查从未被调用过的方法 PHP Code Sniffer( 老牌代码格式化工具，PHP写的，Pear包，可自己hack，可集成到命令行里。 PHP Code Beautifier，只有Windows GUI，Windows CMD很难用

php代码检查工具rips-0.55怎么使用

安装使用也非常简单，解压后把代码FTP到网站上就可以了，最好是给RIPS一个独立的目录，以便跟网站正式的代码区分开。

上传完后就可以按照你网站的域名和RIPS安装的目录通过URL浏览RIPS,

然后在path / file:输入项中设定你要扫描的目录，记得钩上 subdirs 这个选项的复选框就可以点击 scan 按钮进行扫描检测了。

扫描中会有进度显示，并且非常占用CUP,基本都是100%状态在运行，1千多个文件扫描了3个多钟头。

iis7.0解析漏洞 php用什么软件检测

本文利用了PHPCMS V9的两个漏洞，一个是读取任意文件漏洞，另一个是模版运行php脚本漏洞。使用到的工具：Navicat for Mysql/IE浏览器(建议使用代理)/湛蓝v9代码包（包含文中使用到的所有文件、代码和木马）

1、放置data.txt以备在目标站点读取并在目标站点生成PHP木马脚本使用。

例如将data.txt放置在yun.baidu.com/j0192/data.txt

2、通过v9漏洞获取配置信息（请参阅：phpcms V9最新读取站点任意文件漏洞）。

/index.php?m=searchc=indexa=public_get_suggest_keywordurl=asdfq=../../phpsso_server/caches/configs/database.php

3、通过v9系统漏洞获取到的数据库信息远程登陆目标站点数据库，在v9_admin和v9_sso_admin表中添加账号

username字段：admn

password字段：10203d4623c1957d041818196ff9822a

encrypt 字段：bGV22e

issuper 字段: 1

4、通过数据库添加管理员账号后使用以下用户名密码在后台登陆，然后修改当前用户密码。

用户名：admn

密码：123456

5、ctrl+a复制write.php全部内容粘贴进v9默认模版下的footer.html保存，然后点击footer.html的可视化运行该模版中的脚本，到此时就完成在目标站点生成木马脚本。

6、打开ifeng.com/caches/caches_template/default/wap/data.class.php

用户名：admin

密码：admin

7、隐藏新增加的管理员。

通过木马脚本上传替换/phpcms/modules/admin/admin_manage.php(默认匹配%admn%)，然后登陆目标站点后台查看管理员列表是否还有用户名为admn的超级管理员，如果没有则表明我们完成了新加管理员的隐藏。

8、隐藏新增加的关联链接

通过木马脚本上传替换/phpcms/modules/admin/keylink.php((默认匹配%skyhome%))

9、将目标网站的漏洞修复，以防其他黑客入侵。

通过木马脚本上传替换/phpcms/modules/search/index.php

防黑参考:

1、关闭数据库远程访问。

2、静态文件及附件等文件目录禁止执行权限。

3、脚本文件目录禁止写权限。

4、系统后台等重要目录限制IP访问。

5、及时关注开源系统官方补丁升级和乌云、sebug等漏洞发布平台，修复系统漏洞。

用什么工具检测php网站是否存在注入漏洞？

PHP的安全性现在是越来越好了PHP6。0版本都把存在的SQL漏洞都解决了

但是为了安全起见还是应该做安全检测

检测方法：SQL 注入法 、脚本代码、参数传递等方法 具体情况参看PHP官方网站 安全篇章

当前市面上的代码审计工具哪个比较好?

第一类：Seay源代码审计系统

这是基于C#语言开发的一款针对PHP代码安全性审计的系统，主要运行于Windows系统上。这款软件能够发现SQL注入、代码执行、命令执行、文件包含、文件上传、绕过转义防护、拒绝服务、XSS跨站、信息泄露、任意URL跳转等漏洞，基本上覆盖常见的PHP漏洞。在功能上，它支持一键审计、代码调试、函数定位、插件扩展、自定会规则配置、代码高亮、编码调试转换、数据库执行监控等数十项强大功能。

第二类：Fortify SCA

Fortify

SCA是由惠普研发的一款商业软件产品，针对源代码进行专业的白盒安全审计。当然，它是收费的，而且这种商业软件一般都价格不菲。它有Windows、Linux、Unix以及Mac版本，通过内置的五大主要分析引擎对应用软件的源代码进行静态分析。

第三类：RIPS

RIPS是一款基于PHP开发的针对PHP代码安全审计的软件。另外，它也是一款开源软件，由国外安全研究员开发，程序只有450KB，目前能下载到的最新版本是0.54，不过这款程序已经停止更新了。它最大的亮点在于调用了PHP内置解析器接口token_get_all，并且使用Parser做了语法分析，实现了跨文件的变量及函数追踪，扫描结果中非常直观地展示了漏洞形成及变量传递过程，误报率非常低。RIPS能够发现SQL注入、XSS跨站、文件包含、代码执行、文件读取等多种漏洞，文件多种样式的代码高亮。