代码审计工具 ,支持php ,如下:
CodeScan - [ .ASP, PHP ] - http://www.codescan.com/
CodeSecure - [ PHP, Java ] - http://www.armorize.com/corpweb/en/products/codesecure
PHP-Sat - [ PHP ] - http://www.program-transformation.org/PHP/PhpSat
Pixy - [ PHP ] - http://pixybox.seclab.tuwien.ac.at/pixy/index.php
RATS - [ C, C++, Perl, PHP, Python ] - http://www.fortify.com/security-resources/rats.jsp
Skavenger - [ PHP ] - http://code.google.com/p/skavenger/
smarty-lint - [ PHP ] - http://code.google.com/p/smarty-lint/
Spike PHP Security Audit Tool - [ PHP ] - http://developer.spikesource.com/projects/phpsecaudit/
SWAAT - [ PHP, ASP.NET, JSP, Java ] - http://www.owasp.org/index.php/Category:OWASP_SWAAT_Project
Fortify - http://www.fortifysoftware.com
[补充]
1.CodeScan
官方网站:http://www.codescan.com
这个比较老牌了。市面上流出的版本好像就是 1.6和1.9的crack,商业软件,比较蛋疼。不过GUI界面操作起来很方便。
这里也不多说什么,主要是Include的提示设置,装过软件自己看看就知道了。
2.RIPS
官方网站:http://rips-scanner.sourceforge.net/
PHP写的,需要环境,直接解压到wwwroot就好了。不适合扫描整个文件夹项目,或者要修改PHP配置,把代码执行超时的时间设置大一点。
总体来说还是很不错,It’s free.
3.PHPXref
官方网站:http://phpxref.com/
严格的说PHPxref也是做开发的好帮手,它能将某一个程序(如Wordpress)中所有的函数、变量、常量等分类记录,
生成一个HTML网页列表,你可以轻松地在这个列表中找到某个函数在什么位置被定义,在什么位置被引用。所以说非常适合大型项目。
同时还是最主要的,It’s free.