静态代码编码安全审计: PHP源代码审计工具RIPS

本文介绍了PHP源代码审计工具RIPS,详细阐述了RIPS的安装、使用方法及其在静态代码分析中的作用,特别强调了其在检测XSS、SQL注入等漏洞中的效果,同时提供了典型漏洞分析及防范措施。
摘要由CSDN通过智能技术生成

目录

1 PHP源代码审计工具RIPS

1.1 RIPS简介

2 RIPS的安装和使用

2.1 rips安装

2.2 rips介绍

2.3 rips扫描的过程和结果

3 典型漏洞分析

4 实验总结和感想


1 PHP源代码审计工具RIPS

1.1 RIPS简介

在安全工作中,代码审计是很重要的一项技能。在面对大规模的代码时,使用自动化工具辅助人工漏洞挖掘,可以显著提高审计工作的效率。学会利用自动化代码审计工具,是每一个代码审计人员必备的能力。

RIPS用于 PHP 脚本漏洞的静态源代码分析器.

RIPS 是最流行的静态代码分析工具,可自动检测 PHP 应用程序中的漏洞。通过对所有源代码文件进行标记和解析,RIPS 能够将 PHP 源代码转换为程序模型,并检测在程序流程中可能被用户输入(受恶意用户影响)污染的敏感接收器(可能存在漏洞的函数)。除了发现漏洞的结构化输出之外,RIPS 还提供了一个集成的代码审计框架.

使用了静态分析技术,能够自动化地挖掘PHP源代码潜在的安全漏洞如XSS ,SQL注入,敏感信息泄漏,文件包含等常见漏洞;也可以采用正则方式扫描代码发现漏洞;还能够采用自定义的语法扫描代码发现问题。渗透测试人员可以直接容易的审阅分析结果,而不用审阅整个程序代码。当然,最后去校验结果必须是我们自己去做.

RIPS 能够检测 XSS, SQL 注入, 文件泄露, Header Injection 漏洞等等,如图1.1

图1.1.1

RIPS的安装和使用

2.1 rips安装

进入rips官网:http://rips-scanner.sourceforge.net/,点击here后进行下载,如图2.1.1

图2.1.1

将rips解压后的文件夹移动到网站根目录下,如图2.1.2

2.1.2

浏览器访问local

  • 2
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

瑶~why

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值