php静态检测工具,PHP应用安全静态代码分析工具 – WAP 2.0【附使用方法】

最新推荐文章于 2022-08-01 16:37:09 发布
最新推荐文章于 2022-08-01 16:37:09 发布
阅读量165 收藏
点赞数
文章标签: php静态检测工具

WAP 2.0是一个静态源代码安全分析和数据挖掘工具,可以发现PHP Web应用程序中的安全漏洞,同时具有较低的误报率。

使用过后发现常规的文件包含等漏洞可以检测出,但是不能检测出防注入方法比较复杂的注入。

使用方法:

切到wap目录下执行 java -jar wap.jar –h 得到wap的帮助文档。

wap  [选项]  -p 

wap  [选项] 

选项:

-a   检测漏洞,不进行纠正

-s    只显示简要总结

-sqli        SQL注入漏洞检测,如果不使用-a,将进行自动纠正。

java -jar wap.jar –sqli  /root /wap-2.0/login.php login.php

–dbms      指定应用程序所使用的数据库。可选的数据库为:mysql, db2, pg(PostgreSQL)。此选项只与-sqli选项配合使用,默认选择MySQL。

java -jar wap.jar -sqli –dbms mysql /root /wap-2.0/login.php login.php

-ci    检测RFI / LFI / DT / SCD /OS/ PHP注入漏洞,如果不使用-a,将进行自动纠正。

java -jar wap.jar -ci /root /wap-2.0/login.php

– XSS     检测反射型和存储型XSS漏洞,如果不使用-a,将进行自动纠正。

java -jar wap.jar -xss /root /wap-2.0/login.php

-p <项目>    指定项目的完整路径

java -jar wap.jar -sqli -ci -xss -p /root /wap-2.0/cms/

file(s)     指定完整路径的一个或多个php文件。

java -jar wap.jar -sqli login.php upload_file.php

-h    帮助。

-out 将结果输出到指定位置。

java -jar wap.jar -sqli login.php upload_file.php -out  /result

82319

SQL注入漏洞 (SQLI)

跨站脚本漏洞 (XSS)

远程文件包含漏洞 (RFI)

本地文件包含漏洞 (LFI)

目录遍历漏洞 (DT/PT)

源代码泄漏漏洞 (SCD)

系统命令执行漏洞 (OSCI)

PHP代码注入漏洞

WAP可以基于语义分析应用的源代码,并对数据流进行分析,比如它会追踪$_GET, $_POST等入口点,并且追踪确认是否最终有敏感的方法可被执行。在探测结束后,这个工具还会通过数据挖掘确认漏洞是否真的存在或误报。

WAP使用Java编写,支持PHP 4.0及以上版本的Web应用。

笨熊和傻兔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
wap2.0网站源码
04-07
wap2.0网站源码,欢迎大家下载,轻松建站!
基于静态分析PHP代码缺陷检测
04-15
代码检测有静态分析和动态分析方法,本文 主要采用静态分析方法检测代码中的安全缺陷,然而由于语 言为动态脚本语言,具有动态弱类型,运行时文件包含等动态特性,导致 对其进行有效的静态分析是比较困难的。
PHP工具箱:PHPStan —— PHP 静态代码分析工具
weixin_33929309的博客
11-14 338
PHPStan:无需写测试就能找到代码中的 Bug 每当我看到开发人员从 Java 或 C# 等编译语言切换到 PHP 这样的解释语言时解放了生产力后感到很高兴。除了这些常规的执行模型(发起、处理请求和结束请求)和更短的反馈环(无需等待编译器)外,还有一个能解决开发人员日常问题的开源框架生态系统,因此,PHP 是目前来说 web 开发中最流行的语言。 但它有一个缺点。 你会在什么时候发现错误? ...
php静态检测工具,PHP 静态代码检查工具
weixin_42298881的博客
03-09 392
PHP静态代码检查工具是什么?可以理解为有一个机器人帮忙做代码 review。为什么?在代码运行前发现可能的问题;减少低级问题的人工review时间,提升整体代码质量。怎么做?准备工作:安装 composer安装及使用 phpcs说明:phpcs 主要用于检查代码是否符合规范,常用 PSR1、PSR2 标准。# 安装composer require --dev squizlabs/php_code...
php代码静态检查工具,代码静态检查工具汇总
weixin_39645019的博客
04-13 5774
工具静态扫描语言开源/付费 厂商 介绍 主页网址ounec5.0 VB.Net、C、C++和C#,还支持Java。 付 费 Ounce Labs \ http://www.ouncelabs.com/Coverity Prevent C/C++,C#,JAVA 付费 Coverity 还有其他辅助工具:1.Coverity Thread Analyzer for Java2.Coverity ...
php代码静态分析工具,静态代码分析工具清单:开源篇(多语言)
weixin_39708822的博客
03-24 252
原标题:静态代码分析工具清单:开源篇(多语言)本文是一个静态代码分析工具的清单。共有8个工具,其中7个是开源工具,1个有免费使用的版本,都可以用于多种语言。CodacyCodacy几乎包含所有你需要的功能。比如免安装版本、支持多种语言、只关注提交版本中的新问题、企业级安全保障、发现新问题时可以收到通知、安全和性能检查、配置文件适用于所有项目、提供云或者预置版本、代码覆盖率、上千条规则、分析不同分支...
论文研究-基于静态检测工具源代码安全缺陷检测研究.pdf
07-22
针对已有的使用单个静态检测工具进行源代码安全缺陷检测存在的漏报率和误报率很高的问题,提出了一种基于多种静态检测工具的检测方法。该方法通过对多种工具的检测结果进行统计分析,有效地降低了漏报率和误报率。...
静态源代码安全检测工具比较.pdf
06-20
对Fortify SCA、Checkmarx、CodeSecure 三款工具进行对比。
使用Xcode工具静态检查分析代码
03-23
使用Xcode工具静态检查分析代码!Clang是一个C、C++和Objective-C编程语言的编译器前端,采用了底层虚拟机(LLVM)作为其后端,提供一个GNU编译器套装(GCC)的替代品。  Clang是一个C、C++和Objective-C编程语言的...
汇编语言和静态分析工具源代码合集.zip
最新发布
06-03
汇编语言和静态分析工具源代码合集.zip汇编语言和静态分析工具源代码合集.zip汇编语言和静态分析工具源代码合集.zip汇编语言和静态分析工具源代码合集.zip汇编语言和静态分析工具源代码合集.zip汇编语言和静态分析...
七色虎WAP2.0建站系统 v1.2.7 beta2.rar
07-05
七色虎建站系统为自主独创的系统,包含会员系统,文章系统,论坛系统,后台多人管理系统。功能包含动态首页,首页倒计时,首页亲情问候,滚动广告,动态切换广告,全站广告营销系统,敏感SQL注入信息过滤,GET和POST双模式防SQL注入,记录具体网站攻击时间、IP、代码,多IP段封锁以及解锁,有效避免黑客攻击,数据库压缩备份还原。  七色虎建站系统功能   ①动态首页(动态文章/帖子,3种风格,7种主题自由切换)   ②会员论坛系统(帖子,好友,信息等互动方式)   ③广告营销系统(首页/文章/论坛/帖子/自定页面,点击送币)   ④动态友链系统(首页或UBB控制,无链入自动隐藏,自动删除)   ⑤Web/Wap管理后台,详细的管理手册,容易上手   ⑥首页温馨问候语,首页倒计时,首页滚动广告   ⑦公告全站展示系统,方便及时下达网站公告   ⑧数据库压缩备份还原功能,实现有效的网站维护   ⑨多种管理员账户管理网站,合理分工,多人在线管理   ⑩强大的UBB功能,方便建站,有效提高用户体验  七色虎建站系统安全   ①多模式防SQL注入,记录具体网站攻击时间,IP,代码,以便及时防护   ②多IP段封锁和解锁,避免黑客恶意攻击以及网友恶意操作   ③后台管理IP异常检测,登录超时检测,自由选择 七色虎建站系统更新内容:  ①改善内核,提升效率,修复一些错误  ②论坛整合积分系统:金币/积分/经验  ③论坛补充发表文件帖、图片贴等功能  ④文章补充推荐功能,文件下载等功能  ⑤后台补充新留言/友链/投稿检测功能  ⑥文章和帖子补充新浪、腾讯微博分享  ⑦补充会员签到,点击广告送积分功能  ⑧后台排版补充预览,支持插入/修改
WAP2.0电子商务
04-01
此源码采用以强大的WAP辅助开发工具QuickWAP为基础,利用ASP开发完成。网站编码方式为UTF-8。系统运行环境。管理进入admin/login.asp 用默认的管理员密码登录。默认的管理员和密码均为:admin。为了安全,请将后台管理目录“admin”改得复杂一些。
WAP2.0的产品展示系统
03-25
1.简介 WiiProduct是一个基于WAP2.0的产品展示系统,用于展示产品以便用户在手机上浏览。 2.功能 1.产品分类(分类增删改、排序,对产品较少的可以设置不分类) 2.产品增、删、改、排序 3.手机、电脑双操作后台(手机操作后台更便捷,电脑操作后台功能更强大) 4.后台管理员的增删 5.系统名称、Logo、宽度的设置 6.设置企业简介和联系方式 3.安装说明 3.1运行环境:ASP环境 3.2需要的组件:无 3.3安装步骤: 3.3.1将解压得到的wiiProduct文件夹放在网站目录下. 3.3.2访问/wiiProduct即可看到产品展示首页. 3.3.3电脑版管理入口:/wiimsg/pc_admin/admin_login.html帐户:admin密码:123456 3.3.4手机版管理入口:/wiimsg/admin/logon.asp帐户:admin密码:123456 4.安全提示 4.1在使用公开源码的系统的时候,请注意修改数据库路径和管理路径。 4.2修改数据库路径,将WiiProduct文件夹目录下db文件夹重命名为任意名字,并对应修改inc文件夹下db_conn.asp和db_conn_admin.asp第7行。 4.3修改管理路径,将WiiProduct文件夹下admin文件夹和pc_admin文件夹重命名。这里修改后,3.3.3/4提到的管理入口也就相应变了。 4.4管理员密码可进入到管理界面修改。 5.重要声明 5.1WiiProduct是开源的、免费的。 5.2任何人可以将WiiProduct用于任何用途,微普科技对使用WiiProduct造成一切问题不负任何责任。 6.演示、免费在线使用、增值服务 6.1登陆http://www.wiipu.com找到WiiProduct,可查看演示效果。 6.2微普科技提供基于WiiProduct的免费在线使用,只要提出申请并通过审核后,48小时内就可以在手机上展示产品了。 6.3微普科技提供基于WiiProduct的增值服务(按照需求进行改进)。 7.其他问题和帮助 7.1一般的技术问题,请先使用百度或Google。 7.2针对WiiProduct的具体问题,可登陆微普科技官方网站(http://www.wiipu.com)寻求支持。 ******************************************** WiiProductv1.0build2009-02-24 copyright(c)微普科技http://www.wiipu.com ********************************************
vul.php,phpvulhunter: PHP源码漏洞静态分析工具
weixin_39603492的博客
03-17 284
phpvulhunterphpvulhunter是一款PHP源码自动化审计工具,通过这个工具,可以对一些开源CMS进行自动化的代码审计,并生成漏洞报告。安装首先从github上进行获取:git clone https://github.com/OneSourceCat/phpvulhunter下载完成后,将工程目录放置于WAMP等PHP-Web运行环境中即可访问 main.php :http://...
WAP:一款WEB安全检测工具
weixin_33798152的博客
08-01 350
Web Application Protection(WAP)是用于源代码静态分析数据挖掘的一个工具,WAP主要检测使用PHP(4.0版本及以上)编写的web应用程序,并且因为它的误报率很低而受到广泛好评。 WAP可被用来检测并纠正以下漏洞: SQL注入漏洞 跨站脚本攻击漏洞 远程文件包含漏洞 本地文件包含漏洞 目录及路径遍历漏洞 源代码泄露漏洞 操...
10 个 PHP 代码安全漏洞扫描程序
allway2的博客
08-01 4668
PHP核心是安全的,但除此之外还有很多其他内容,您可能正在使用它们,并且可能容易受到攻击。在开发了网站或复杂的Web应用程序之后,大多数开发人员和网站所有者都专注于功能、设计、SEO,而他们忘记了必不可少的组件——。作为最佳实践,您应该考虑在上线之前对您的应用程序执行安全扫描。这适用于任何网站——无论大小。有一些工具可以帮助你。PMF(PMF)是一种自托管解决方案,可帮助您在文件中查找可能的恶意代码。众所周知,它可以检测狡猾的、编码器、混淆器、webshellcode。...
PHP网站常见安全漏洞及防御方法
weixin_34296641的博客
08-01 296
目前,基于PHP的网站开发已经成为目前网站开发的主流,本文笔者重点从PHP网站攻击与安全防范方面进行探究,旨在减少网站漏洞,希望对大家有所帮助! 一、常见PHP网站安全漏洞 对于PHP的漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。 1、sessio...
三款主流静态源代码安全检测工具比较
热门推荐
whatday的专栏
01-07 6万+
静态源代码安全检测工具比较 1. 概述 随着网络的飞速发展,各种网络应用不断成熟,各种开发技术层出不穷,上网已经成为人们日常生活中的一个重要组成部分。在享受互联网带来的各种方便之处的同时,安全问题也变得越来越重要。黑客、病毒、木马等不断攻击着各种网站,如何保证网站的安全成为一个非常热门的话题。 根据IT研究与顾问咨询公司Gartner统计数据显示,75%的黑客攻击发生在应用层。而
静态代码分析 之 如何在团队中使用sonar来检查代码
低调的成长
01-17 5955
胡言乱语: 大家应该都知道一件事情,越早的发现问题,问题所带来的风险将会越少。所以静态代码分析对于我们来说绝对是成本最低的代码控制工具, 背景: 在我的团队中,我所提倡的是四套静态代码分析工具,findbugs,checkstyle,lint,sonar 每个功能都不同,我也在前面的博客中都有所涉及,本章主要来介绍sonar如何在团队中使用。 原因:静态代码分析工具是个好
静态代码分析工具TESTBEAD如何使用
03-26
使用TESTBEAD进行静态代码分析通常需要以下步骤: 1. 下载和安装TESTBEAD。 2. 创建一个测试项目或打开一个现有项目。 3. 配置测试项目。可以在“项目配置”菜单中设置代码路径、分析选项、规则库等。 4. 运行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值