Instrument de identificare a vulnerabilitatilor PHP

Numarul si importanta aplicatiilor web a crescut rapid in ultimii ani, concomitent cu descoperirea unui mare numar de vulnerabilitati de securitate care le afecteaza. Verificarea manuala a codurilor sursa necesita foarte mult timp, este predispusa la erori si duce la cresterea costurilor. Astfel a devenit din ce in ce mai evidenta necesitatea unor solutii de verificare automata.
Cum va dati seama daca aplicatiile dvs. PHP nu sunt afectate de vulnerabilitati sau nu au fost deja compromise? Puteti folosi instrumentul dezvoltat de Secure Systems Lab, un scaner open-source pentru depistarea vulnerabilitatilor PHP.
In urma aparitiei PHP “Month of Bugs”, au fost dezvoltate si publicate foarte multe tipuri de exploit-uri, mergand de la unele putin importante pana la aplicatii de exploatare a vulnerabilitatilor ce afectau bloguri bazate pe “WordPress”.

Vulnerabilitatile Cross-site scripting (XSS) si SQL injection (SQLI) sunt prezente in multe aplicatii web moderne, si sunt permanent publicate pe pagini web cum ar fi “BugTraq”. In trecut, depistarea acestor vulnerabilitati se realiza de obicei prin operatii de audit al codurilor sursa. Din nefericire, cautarea manuala a vulnerabilitatilor necesita eforturi deosebite si este o metoda predispusa la erori.

Pixy este un program Java care scaneaza automat codurile sursa PHP in scopul detectarii vulnerabilitatilor XSS si SQL injection. Pixy analizeaza instructiunile PHP si creeaza rapoarte cu posibilele vulnerabilitati in program, alaturi de informatii suplimentare pentru intelegerea vulnerabilitatilor.

Programul poate fi descarcat gratuit facand clic aici, sau poate fi folosita interfata web http://pixybox.seclab.tuwien.ac.at/pixy/webinterface.php.

Sursa: GecadNet.ro