×

php代码审计

Linux下有哪些不错的PHP代码审计工具?php代码审计

admin admin 发表于2022-05-25 00:38:00 浏览124 评论0

抢沙发发表评论

Linux下有哪些不错的PHP代码审计工具


具体代码如下:
《?php
$ch = curl_init();
$timeout = 5;
curl_setopt ($ch, CURLOPT_URL, ’’);
curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt ($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
$file_contents = curl_exec($ch);
curl_close($ch);
echo $file_contents;
?》
?PHP 独特的语法混合了C、Java、Perl以及PHP自创的语法。
它可以比CGI或者Perl更快速地执行动态网页。用PHP做出的动态页面与其他的编程语言相比,PHP是将程序嵌入到HTML(标准通用标记语言下的一个应用)文档中去执行,
执行效率比完全生成HTML标记的CGI要高许多;
PHP还可以执行编译后代码,编译可以达到加密和优化代码运行,使代码运行更快。

php代码审计


把if用大括号试试 这样就能返回三种情况下的$cip
function GetIP(){
if(!empty($_SERVER[“HTTP_CLIENT_IP“])){
$cip = $_SERVER[“HTTP_CLIENT_IP“];
}
else if{(!empty($_SERVER[“HTTP_X_FORWARDED_FOR“]))
$cip = $_SERVER[“HTTP_X_FORWARDED_FOR“];
}
else if
{(!empty($_SERVER[“REMOTE_ADDR“]))
$cip = $_SERVER[“REMOTE_ADDR“];
}
else{
$cip = “0.0.0.0“;
}
return $cip;
}

当前市面上的代码审计工具哪个比较好


第一类:Seay源代码审计系统
这是基于C#语言开发的一款针对PHP代码安全性审计的系统,主要运行于Windows系统上。这款软件能够发现SQL注入、代码执行、命令执行、文件包含、文件上传、绕过转义防护、拒绝服务、XSS跨站、信息泄露、任意URL跳转等漏洞,基本上覆盖常见的PHP漏洞。在功能上,它支持一键审计、代码调试、函数定位、插件扩展、自定会规则配置、代码高亮、编码调试转换、数据库执行监控等数十项强大功能。
第二类:Fortify SCA
Fortify
SCA是由惠普研发的一款商业软件产品,针对源代码进行专业的白盒安全审计。当然,它是收费的,而且这种商业软件一般都价格不菲。它有Windows、Linux、Unix以及Mac版本,通过内置的五大主要分析引擎对应用软件的源代码进行静态分析。
第三类:RIPS
RIPS是一款基于PHP开发的针对PHP代码安全审计的软件。另外,它也是一款开源软件,由国外安全研究员开发,程序只有450KB,目前能下载到的最新版本是0.54,不过这款程序已经停止更新了。它最大的亮点在于调用了PHP内置解析器接口token_get_all,并且使用Parser做了语法分析,实现了跨文件的变量及函数追踪,扫描结果中非常直观地展示了漏洞形成及变量传递过程,误报率非常低。RIPS能够发现SQL注入、XSS跨站、文件包含、代码执行、文件读取等多种漏洞,文件多种样式的代码高亮。
-php代码审计