频道栏目
读书频道 > web开发 > 其他综合 > 代码审计:企业级Web代码安全架构
2.2.3 RIPS
2015-11-27 15:02:17     我来说两句
收藏   我要投稿
本书共分为三个部分。第一部分为代码审计前的准备,包括第1~2章,第1章详细介绍代码审计前需要了解的PHP核心配置文件以及PHP环境搭建的方法;第2章介绍学习PHP代码审计需要准备的工具,以及这些工具的详细使用方  立即去当当网订购

RIPS是一款基于PHP开发的针对PHP代码安全审计的软件。另外,它也是一款开源软件,由国外安全研究员Johannes Dahse开发,程序只有450KB,目前能下载到的最新版是0.54,笔者发现这款程序在2013年2月已经暂停更新。在写这段文字之前笔者特意读过它的源码,它最大的亮点在于调用了PHP内置解析器接口token_get_all,并且使用Parser做了语法分析,实现了跨文件的变量及函数追踪,扫描结果中非常直观地展示了漏洞形成及变量传递过程,误报率非常低。RIPS能够发现SQL注入、XSS跨站、文件包含、代码执行、文件读取等多种漏洞,支持多种样式的代码高亮。比较有意思的是,它还支持自动生成漏洞利用。

图2-13为RIPS截图。


 

RIPS的使用非常简单,只需在主界面填入我们要扫描的路径,其余配置可根据自己的需要设置。完成设置后点击scan按钮即可开始自动审计。扫描结束后,程序会显示漏洞数量、漏洞比例等信息。查看漏洞详情时,只需点击提示漏洞处的“-”即可显示漏洞源代码和变量过程,如图2-14所示。

笔者通过RIPS发现ecshop文件包含漏洞,图2-15所示为RIPS漏洞扫描详细结果。

代码查看也非常方便,只需要点击“review code”即可跳转到漏洞代码处,将鼠标指针悬浮在变量上,同文件的变量会高亮显示,如图2-16所示。


 


 

您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:2.2.2 Fortify SCA
下一篇:2.3 漏洞验证辅助
相关文章
图文推荐
排行
热门
最新书评
特别推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站