it-swarm.com.de

Wie kann ich testen PHP Standortsicherheit für die häufigsten Sicherheitslücken?

Ich muss sicherstellen, dass PHP Sites, die ich verwalte, keine allgemeinen PHP Fehler aufweisen, wie SQL-Injection, falsch konfigurierte Berechtigungen für Dateien und Ordner usw. Mit Site meine ich Zum Beispiel Joomla Site mit Plugins und Modulen. Das manuelle Durchführen dieser Sicherheitsüberprüfung kann zeitaufwändig sein, und es kann täglich ein automatisierter Test durchgeführt werden, um sicherzustellen, dass sich nichts geändert hat.

Meine Frage ist also, ob es dafür eine gute automatisierte Software gibt oder ob ich selbst eine codieren muss.

29
newbie

Die Verwendung eines Fuzzers ist eine gute Idee. Sie können jedoch auch versuchen, ein automatisiertes System selbst zu codieren, da dies Ihr Wissen über PHP und Sicherheitsprobleme/Schlupflöcher in Ihren PHP-Sites erhöht. 

Ich würde persönlich Googles Skipfish verwenden und selbst herausfinden, ob es Probleme gibt. Dann können Sie Ihr eigenes System nur für Ihre Bedürfnisse und für die Benutzerfreundlichkeit erstellen. Viel Glück!

8
ryryan

Ich habe netsparker http://www.mavitunasecurity.com/ verwendet. _

Nicht genau das, was du brauchst, aber es kann sehr helfen :)

4
DiogoNeves

Dies kann mit einem Fuzzer oder einem Web - Schwachstellenscanner erfolgen.

4
Sjoerd

Sie sollten beides tun. Überprüfen Sie Ihren Code und suchen Sie nach möglichen SQL-Injections usw.

Google hat ein sehr schönes Tool namens " Skipfish " veröffentlicht, das Ihre Anwendung nach allgemeinen Sicherheitslücken/Angriffsmustern durchsucht.

2
halfdan

Sie können ein statisches Code-Analyse-Tool verwenden, z. RIPS für PHP, um Ihren gesamten Quellcode auf Sicherheitslücken zu analysieren. Das Fuzzing Ihrer Website von außen deckt möglicherweise nicht alle Codepfade ab und übersieht Probleme.

1
Johannes

Um sich mit den häufigsten Sicherheitslücken im Web vertraut zu machen, möchten Sie möglicherweise auch Webgoat erkunden.

Ich empfehle die Verwendung des Open-Source-Projekts wapiti , das auf XSS, SQLi, LFI/RFI und viele andere getestet wird. Es gibt auch das kommerzielle Produkt Sitewatch ($), und das Beste ist NTOSpider ($$$$$).

1
rook

Dies ist ein neues und gutes Werkzeug zum Testen. Es kann von Webentwicklern, Penetrationstestern oder sogar Sicherheitsforschern zum Testen von Webanwendungen verwendet werden, um Fehler, Fehler oder Schwachstellen zu finden. Es lohnt sich, es zu versuchen Commix

0
StefanoWP

Ich bezweifle, dass irgendetwas gut ist (also 100% zuverlässig) - das ist automatisiert. Aber ein schönes Thema, das Sie durchgehen sollten, könnte dieses Thema sein, da es "historische Sicherheitslücken" aufführt.

Historische Sicherheitslücken populärer PHP CMS's?

0
CharlesLeaf

RFI, LFI, SQL Injection, zu viele zum Besprechen und wahrscheinlich zu langweilig, um sie einzeln zu lesen. Ich schlage vor, Sie verwenden stattdessen einen Fuzzer. Es gibt viele kostenlose und hier ist ein Wiki-Artikel darüber: http://en.wikipedia.org/wiki/Fuzz_testing

0
Ruel