Finden Sie Sicherheitsrisiken und Codequalität in Ihrer PHP-Anwendung.
PHP beherrscht das Web und hat einen Marktanteil von etwa 80%. Es ist überall zu finden – WordPress, Joomla, Lavarel, Drupal, usw.
Der PHP-Kern ist sicher, aber es gibt noch viele weitere Programme, die Sie möglicherweise verwenden und die angreifbar sein könnten. Nach der Entwicklung einer Website oder einer komplexen Webanwendung konzentrieren sich die meisten Entwickler und Website-Betreiber auf Funktionalität, Design und SEO und vergessen dabei die wesentliche Komponente – die Sicherheit.
Als bewährte Praxis sollten Sie einen Sicherheitsscan Ihrer Anwendung in Erwägung ziehen, bevor Sie live gehen. Dies gilt für jede Website – ob klein oder groß. Es gibt einige Tools, die Sie dabei unterstützen.
PMF
PHP Malware Finder (PMF) ist eine selbst gehostete Lösung, die Ihnen hilft, mögliche bösartige Codes in den Dateien zu finden. Es ist bekannt dafür, dass es fragwürdigen, verschlüsselten, verschleiernden und Web-Shellcode aufspürt.
PMF nutzt YARA, so dass Sie es als Voraussetzung für die Durchführung des Tests benötigen.
RIPS
RIPS ist eines der beliebtesten PHP-Tools zur statischen Codeanalyse, das in den Entwicklungszyklus integriert wird, um Sicherheitsprobleme in Echtzeit zu finden. Sie können die gefundenen Probleme nach Branchenkonformität und Standard kategorisieren, um die Korrekturen zu priorisieren.
- OWASP Top 10
- SANS Top 25
- PCI-DSS
- HIPPA
Werfen wir einen Blick auf einige der folgenden Funktionen.
- Bestimmen Sie das Risiko anhand des Schweregrads und legen Sie die Gewichtung für kritisch, hoch, mittel und niedrig fest.
- Zusammenarbeit bei der Untersuchung und Priorisierung des Problems
- Verstehen Sie die Auswirkungen der Schwachstelle
- Bewerten Sie das Sicherheitsrisiko zwischen altem und neuem Code
- Erstellen Sie eine To-Do-Liste und weisen Sie Aufgaben mit Hilfe des Ticketing-Systems zu
Mit RIPS können Sie die Scan-Ergebnisse über eine RESTful API in verschiedene Formate exportieren – PDF, CSV und andere.
Es ist als selbstgehostetes und SaaS-Modell verfügbar. Wählen Sie also, was für Sie am besten geeignet ist.
SonarPHP
SonarPHP von SonarSource verwendet Mustervergleiche und Datenflussverfahren, um Schwachstellen in PHP-Codes zu finden. Es ist ein statischer Code-Analysator und lässt sich in Eclipse und IntelliJ integrieren.
SonarSource prüft den Code anhand von mehr als 140 Regeln und unterstützt auch benutzerdefinierte, in Java geschriebene Regeln.
Exakat
Eine statische Code-Analyse-Engine in Echtzeit, mit der Sie die Einhaltung von Vorschriften und Risiken überprüfen und Best Practices verstärken können. Exakat verfügt über mehr als 450 Analysatoren speziell für PHP. Es gibt Framework-spezifische Analyzer wie WordPress, CakePHP, Zend, etc.
Wenn Sie den Code Ihrer PHP-Anwendung auf GitHub haben, können Sie den öffentlichen Analyzer verwenden, ansonsten können Sie ihn herunterladen oder den cloudbasierten Online-Analyzer nutzen.
Mit Hilfe von Exakat können Sie die ewige Sicherheit in Ihre Anwendung integrieren und Folgendes tun.
- Automatisierte Codeüberprüfung mit mehr als 100 Regeln
- Compliance-fähig
- Automatisieren Sie Ihre Code-Dokumentation
- PHP 7-Migration leicht gemacht
Mit dem robusten Berichtswesen können Sie die Behebung priorisieren.
PHPStan
PHPStan ist ein fantastisches Tool, um Fehler zu finden, während Sie den Code schreiben. Sie brauchen nichts auszuführen.
Sie können die Online-Version hier ausprobieren.
PHPStan erfordert die Version 7.1 oder höher und den Composer. Es ist jedoch in der Lage, Fehler in einer älteren Version zu entdecken.
Psalm
Psalm baut auf PHP Parser auf und ist gut geeignet, um Fehler zu finden und die Konsistenz für eine bessere und sichere Anwendung zu gewährleisten.
Progpilot
Mit dem statischen Analysator vonProgpilot können Sie den Analysetyp wie GET, POST, COOKIE, SHELL_EXEC usw. festlegen. Es unterstützt derzeit suiteCRM und CodeIgniter Framework.
Grabber
Grabber, ein auf Python basierendes Tool zur Durchführung einer hybriden Analyse einer PHP-basierten Anwendung mit PHP-SAT.
Symfony
Security Monitoring von Symfony funktioniert mit jedem PHP-Projekt, das den Composer verwendet. Es handelt sich dabei um eine Datenbank mit PHP-Sicherheitshinweisen für bekannte Sicherheitslücken. Sie können entweder PHP-CLI, Symfony-CLI oder webbasiert composer.lock auf bekannte Probleme mit den Bibliotheken, die Sie in Ihrem Projekt verwenden, überprüfen.
Symfony bietet auch einen Sicherheitsbenachrichtigungsdienst. Das heißt, Sie können Ihre composer.lock-Datei hochladen und werden benachrichtigt, wenn sich in Zukunft herausstellt, dass eine der verwendeten Bibliotheken anfällig ist.
Fazit
Ich hoffe, dass Sie mit Hilfe der oben genannten Tools Ihre PHP-Anwendungen sicherer machen. Alle aufgeführten Tools konzentrieren sich auf die Analyse des Quellcodes. Wenn Sie mehr brauchen, sollten Sie sich einen Open-Source-Sicherheitsscanner ansehen.
Sobald Ihre Anwendung fertig ist, vergessen Sie nicht, eine Cloud-basierte WAF für kontinuierliche Sicherheit vom Edge-Netzwerk aus hinzuzufügen.