PHP代码审计工具Rips的使用

最新推荐文章于 2024-05-21 09:48:48 发布
最新推荐文章于 2024-05-21 09:48:48 发布
阅读量5.3k 收藏 34
点赞数 2
分类专栏: CTF 文章标签: PHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43442524/article/details/101934481
版权

Rips

0x00 介绍

最近在准备CTF攻防比赛时发现了一个很好的代码审计工具,接下来就给大家介绍此工具的使用

在安全工作中,代码审计是很重要的一项技能。在面对大规模的代码时,
使用自动化工具辅助人工漏洞挖掘,可以显著提高审计工作的效率。学会利用自动化代码审计工具,是每一个代码审计人员必备的能力。

它使用了静态分析技术,能够自动化地挖掘PHP源代码潜在的安全漏洞如XSS ,sql注入,敏感信息泄漏,文件包含等常见漏洞;也可以采用正则方式扫描代码发现漏洞;还能够采用自定义的语法扫描代码发现问题。渗透测试人员可以直接容易的审阅分析结果,而不用审阅整个程序代码。当然,最后去校验结果必须是我们自己去做的

RIPS 能够检测 XSS, SQL 注入, 文件泄露, Header Injection 漏洞等等

0x01 安装

rips官网:http://rips-scanner.sourceforge.net/

当然也可以私聊我要汉化版的Rips

下载完之后将该压缩包解压到本地网站的根目录下,然后在浏览器 localhost/Rips(你解压的文件名字)/就可以进去了

0x02 界面介绍


Rips 主界面

  • subdirs:如果勾选上这个选项,会扫描所有子目录,否则只扫描一级目录,缺省为勾选。
  • verbosity level:选择扫描结果的详细程度,缺省为1(建议就使用1)。
  • vuln type:选择需要扫描的漏洞类型。支持命令注入、代码执行、SQL注入等十余种漏洞类型,缺省为全部扫描。
  • code style:选择扫描结果的显示风格(支持9种语法高亮)。
  • /regex/:使用正则表达式过滤结果。
  • path/file: 要扫描的目录。
  • scan: 开始扫描。

0x03 使用

在path/file中输入扫描目录, 点击scan:

可以看到,RIPS的功能还是很强大的,将目录中所有的漏洞文件找出

点击左上角的按钮可以查看代码的详细情况

左下角的问号是解释,它会详细的解释这是什么类型的漏洞,并且有漏洞补丁方案

右下角的红色按钮,可以根据漏洞生成漏洞利用代码

0x04 总结

到这里我们可以看到该工具非常强大,但工具到头来只是帮助提高效率,它们从来不是可以提高基础知识与技术的捷径,真正的审计还得靠我们一步一步的学习与经验的积累而来的。

参考网站:

https://uuzdaisuki.com/2018/05/11/PHP%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1%E5%B7%A5%E5%85%B7RIPS/

https://phperzh.com/articles/3505

普通Gopher
关注
  • 2
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
RIPS详细介绍
武天旭的博客
10-06 5623
RIPS是一个用php编写的源代码安全检测工具,它使用了静态分析技术,能够自动化地挖掘PHP源代码潜在的安全漏洞,测试人员可以直接容易的审阅分析结果,不用审阅整个程序代码。由于静态源代码分析的限制,一些漏洞预警是否真正存在,仍然需要测试人员定位到源代码进行进一步确认。
PHP代码审计工具——Rips详细使用教程
2201_75735270的博客
03-11 1010
代码审计工具可以辅助我们进行白盒测试,大大提高漏洞分析和代码挖掘的效率。在源代码的静态安全审计中,使用自动化工具辅助人工漏洞挖掘,一款好的代码审计软件,可以显著提高审计工作的效率。学会利用自动化代码审计工具,是每一个代码审计人员必备的能力。代码审计工具按照编程语言、审计原理、运行环境可以有多种分类。商业性的审计软件一般都支持多种编程语言,比如VCG、Fortify SCA,缺点就是价格比较昂贵。其他常用的代码审计工具还有findbugs、codescan、seay,但是大多都只支持Windows环境。
推荐开源神器:phpvulhunter - PHP源码安全守护者
最新发布
gitblog_00040的博客
05-21 381
推荐开源神器:phpvulhunter - PHP源码安全守护者 项目地址:https://gitcode.com/OneSourceCat/phpvulhunter 项目介绍 在软件开发的世界里,安全始终是不容忽视的一环,尤其是当我们面对PHP这样的流行编程语言时。现在,有一款名为phpvulhunter的开源工具,专门用于PHP源码的自动化审计,帮你找出潜在的安全隐患,让代码更安全、更可靠。这...
PHP自动全局变量漏洞 rips工具使用
fareast_mzh的博客
09-16 504
工具下载地址: https://sourceforge.net/projects/rips-scanner/files/latest/download 或者从百度云盘下载: 链接: https://pan.baidu.com/s/1Y6F1E7Cmmies0YvR6O7I-A 提取码: 1huw 复制这段内容后打开百度网盘手机App,操作更方便哦 链接: https://pan.baidu...
RIPS自动化地挖掘PHP源代码安全漏工具
weixin_30240349的博客
09-01 123
RIPS是一个源代码分析工具,它使用了静态分析技术,能够自动化地挖掘PHP源代码潜在的安全漏洞。渗透测试人员可以直接容易的审阅分析结果, 而不用审阅整个程序代码。由于静态源代码分析的限制,漏洞是否真正存在,仍然需要代码审阅者确认。RIPS能够检测XSS, SQL注入, 文件泄露, LFI/RFI, RCE漏洞等。目前RIPS更新至0.32版。 下载地址:http://sourceforge...
PHP 代码审计神器rips
07-04
综上所述,RIPS作为一款强大的PHP代码审计工具,利用全局数据流图分析技术,有效地帮助开发者识别并预防安全漏洞。通过深入理解RIPS的工作原理和使用方法,开发者可以更好地保护自己的PHP应用,提高软件的安全性,...
php代码审计入坑实践.pdf
07-30
仅拿出几个洞作为例子进行入坑的讲解, 主要是使用 rips 进行辅助审计, 本文是针对小白入坑作为抛砖引玉, 理论的还未进行详细总结, 本来想在最后加上盾灵系统的审计过程。但是觉得 CMS, 不适合刚入门的同学先...
rips0.55汉化版
08-09
PHP代码检查工具(审计工具).RIPS是一个用php编写的源代码分析工具,它使用了静态分析技术,能够自动化地挖掘PHP源代码潜在的安全漏洞。渗透测试人员可以直接容易的审阅分析结果,而不用审阅整个程序代码。 由于静态...
源码审计工具rips、seay).zip
11-18
rips是一款针对PHP源代码的安全审计工具,它通过静态分析技术来探测代码中的安全风险。rips的工作原理是解析PHP源代码,然后构建抽象语法树(AST),通过遍历这棵树,它可以深入理解代码的逻辑结构,查找可能的注入...
rips-0.55下载
04-15
rips-0.55
php代码审计基础补习
05-25
- 课程八:使用代码审计工具 - 课程九:案例分析与实战演练 通过这个基础补习课程,你将能够系统地学习和掌握PHP代码审计的关键技巧,为构建更安全的PHP应用打下坚实的基础。"php代码审计基础补习(1).exe"可能是...
RIPS工具
wfqiaodaima的博客
05-12 515
本次实验是我跟着B方向的实验课一起做的实验,起初没有B方向的基础好,不懂得什么是靶场,什么是审计攻击,通过B方向同学的帮助,真正明白了代码审计的含义。本次实验我完成了phpstudy、pikachu、rips的安装,rips扫描dvwa靶场,分析漏洞产生的原因,修复并改进代码,尽量的避免漏洞,这次实验让我对代码审计产生了浓厚的兴趣,我会认真上好每节课,认真做每一个实验,在开发中,尽可能提高代码质量,不断练习,能够熟练运用代码审计工具。漏洞信息描述:攻击者可能使用此漏洞在数据库服务器上执行任意SQL命令。
代码审计工具学习之RISP(安装以及初步操作)
weixin_52515588的博客
04-05 8907
1 代码审计 1.1名词解释 代码审计(Code audit)是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目中源代码的全面分析,旨在发现错误,安全漏洞或违反编程约定。 它是防御性编程范例的一个组成部分,它试图在软件发布之前减少错误。 C和C ++源代码是最常见的审计代码,因为许多高级语言(如Python)具有较少的潜在易受攻击的功能(例如,不检查边界的函数)。 顾名思义就是检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过..
RIPS user guide for fresh
BRAVE MAN的博客
10-24 269
RIPS download NOTE: RIPS 0.5 development is abandoned since 2013 due to its fundamental limitations. 从2013年开始,RIPS 0.5X及以前的版本不会再支持; 代替的是使用商业版本:https://www.ripstech.com demo 体验url:https://demo.rip...
代码审计利器-RIPS实践
热门推荐
Yale的博客
05-31 1万+
什么是RIPSRIPS是最流行的静态代码分析工具,可自动检测PHP应用程序中的漏洞。 通过对所有源代码文件进行标记化和解析,RIPS能够将PHP源代码转换为程序模型,并检测在程序流程中可能被用户输入(受恶意用户影响)污染的敏感接收器(可能易受攻击的功能)。 除了发现漏洞的结构化输出外,RIPS还提供了一个集成的代码审计框架。 目前最新版本为0.55 作为审计工具,自然需要有源码供其审计,这里以...
Ripper靶机之内部系统泄漏、Webmin、rips系统等漏洞利用;Metasploit、CVE-2021-3493等使用方法
qq_40898302的博客
06-06 269
通过刚才的信息收集可知,系统运行的是Apache服务,Apache默认运行在 /var/www/ 下。通过尝试,发现是cubes 的系统密码是“Il00tpeople”,并成功登录cubes用户。通过rips搜索功能搜索pass,发现存在如下代码,获取了获取了一个账号密码。去尝试用账号密码登录22端口ssh服务,运气不错,登录成功。再次尝试读取系统服务的文件,成功读取了系统服务本身的文件。运行exp,提权成功(在cp前需要给exp执行权限)5.4版本,是一个比较稳定的版本,不存在漏洞。
PHP代码审计工具RIPS
zero
10-10 1150
在Centos7操作系统中安装rips使用rips进行代码审计工作 # 安装依赖 yum install httpd.x86_64 php-devel.x86_64 php.x86_64 php-mysql.x86_64 php-soap.x86_64 php-xml.x86_64 php-xmlrpc.x86_64 php-ldap.x86_64 php-cli.x86_64 -y # 下载rips并解压至Web目录 unzip rips-0.55.zip -d /var/www/html/ mv r
代码审计工具学习之RIPS
04-02
RIPS是一款开源的PHP代码审计工具,可以帮助开发人员和安全测试人员快速发现PHP应用程序中的漏洞和安全问题。RIPS支持多种漏洞类型,包括SQL注入、跨站脚本、文件包含、命令执行等。 RIPS使用非常简单,只需要将待审计的PHP代码上传到服务器上,然后选择要扫描的漏洞类型和扫描选项,即可开始扫描。扫描完成后,RIPS会生成一个漏洞报告,其中包含所有发现的漏洞和安全问题,以及相应的建议和修复建议。 除了基本的代码审计功能之外,RIPS还提供了一些高级功能,例如自定义规则、漏洞利用演示、代码跟踪和调试等。这些功能可以帮助开发人员更深入地了解代码的运行情况,更精准地发现漏洞和安全问题。 总的来说,RIPS是一款非常实用的PHP代码审计工具,对于开发人员和安全测试人员来说都非常有用。如果您需要对PHP应用程序进行安全审计,不妨试试RIPS

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值