Geekflare recibe el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliación de los enlaces de compra en este sitio.
En Seguridad Última actualización: 15 de septiembre de 2023
Compartir en:
Escáner de seguridad de aplicaciones web Invicti - la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

Encuentre riesgos de seguridad y calidad del código en su aplicación PHP.

PHP domina la web, con cerca de 80% de la cuota de mercado. Está en todas partes: WordPress, Joomla, Lavarel, Drupal, etc.

php-market-share

El núcleo de PHP es seguro, pero hay mucho más por encima de esto, que usted podría estar utilizando, y que podría ser vulnerable. Después del desarrollo de un sitio o aplicación web compleja, la mayoría de los desarrolladores y propietarios de sitios se centran en la funcionalidad, el diseño, SEO, y se olvidan del componente esencial -. seguridad.

Como mejor práctica, debería considerar realizar un análisis de seguridad de su aplicación antes de ponerla en marcha. Esto se aplica a cualquier sitio - pequeño o grande. Existen algunas herramientas que te ayudarán a hacerlo.

PMF

Buscador de malware PHP (PMF) es una solución auto-alojada para ayudarle a encontrar posibles códigos maliciosos en los archivos. Es conocido por detectar dodgy, codificadores, ofuscadores, web shellcode.

pmf

PMF aprovecha YARA, por lo que es necesario como requisito previo para ejecutar la prueba.

RIPS

RIPS es una de las herramientas populares de análisis estático de código PHP que se integra a través del ciclo de vida de desarrollo para encontrar problemas de seguridad en tiempo real. Puede categorizar los hallazgos según el cumplimiento de la industria y el estándar para priorizar las correcciones.

  • Top 10 de OWASP
  • SANS Top 25
  • PCI-DSS
  • HIPPA
rasga

Veamos algunas de las siguientes características.

  • Señale el riesgo en función de la gravedad y la opción de definir ponderaciones para crítico, alto, medio y bajo.
  • Colaborar en la investigación y priorizar el problema
  • Comprender el impacto de la vulnerabilidad
  • Evaluar el riesgo de seguridad entre el código antiguo y el nuevo
  • Crear una lista de tareas pendientes y asignar tareas mediante el sistema de tickets.

RIPS te permite exportar escanear el informe de resultados en varios formatos - PDFCSV y otros mediante la API RESTful.

Está disponible como modelo autoalojado y SaaS. Así que elige lo que más te convenga.

SonarPHP

SonarPHP de SonarSource utiliza técnicas de concordancia de patrones y flujo de datos para encontrar vulnerabilidades en códigos PHP. Es un analizador de código estático y se integra con Eclipse, IntelliJ.

sonarsource

SonarSource comprueba el código con más de 140 reglas, y también admite reglas personalizadas escritas en Java.

Exakat

Un motor analizador de código estático en tiempo real para comprobar la conformidad, los riesgos y reforzar las mejores prácticas. Exakat tiene más de 450 analizadores dedicados a PHP. Existen analizadores específicos de framework como WordPressCakePHP, Zend, etc.

exakat

Si tienes el código de tu aplicación PHP en GitHub, entonces puedes usar su analizador público, si no, puedes optar por descargarlo o usar el online basado en la nube.

Con la ayuda de Exakat, puede integrar la seguridad eterna en su aplicación y lo siguiente.

  • Revisión de código automatizada con más de 100 reglas
  • Conformidad
  • Automatice la documentación del código
  • Fácil migración a PHP 7

Gracias a los sólidos informes, podrá priorizar las medidas correctoras.

PHPStan

PHPStan es una herramienta fantástica para encontrar errores mientras escribes el código. No necesitas ejecutar nada.

phpstan-ejemplo

Puede probar la versión en línea aquí.

PHPStan requiere la versión 7.1 o superior y Composer para utilizarlo. Sin embargo, es capaz de descubrir errores de una versión anterior.

Salmo

Construido sobre PHP Parser, Salmo es bueno para encontrar errores y ayudar a mantener la coherencia para una aplicación mejor y segura.

salmo

Progpilot

Progpilot static analyzer permite especificar el tipo de análisis como GET, POST, COOKIE, SHELL_EXEC, etc. Soporta suiteCRM y CodeIgniter framework por el momento.

Grabber

Grabber, una herramienta basada en python para realizar análisis híbridos en una aplicación basada en PHP utilizando PHP-SAT.

Symfony

Vigilancia de la seguridad Symfony funciona con cualquier proyecto PHP que utilice el compositor. Es una base de datos de avisos de seguridad PHP para vulnerabilidades conocidas. Puedes utilizar PHP-CLI, Symfony-CLI, o basado en web para comprobar composer.lock para cualquier problema conocido con las bibliotecas que está utilizando en el proyecto.

symfony

Symfony también ofrece un servicio de notificación de seguridad. Eso significa que puedes subir tu archivo composer.lock, y siempre que en el futuro cualquier librería utilizada se encuentre vulnerable, recibirás una notificación.

Conclusión

Espero que usando las herramientas anteriores, hagas tus aplicaciones PHP más seguras. Todas las herramientas listadas se enfocan en analizar el código fuente, y si necesitas más, entonces revisa un escáner de seguridad de código abierto.

Una vez que tu aplicación esté lista, no olvides añadir un WAF basado en la nube para una seguridad continua desde la red periférica.

  • Chandan Kumar
    Autor
Gracias a nuestros patrocinadores
Más lecturas sobre seguridad
Potencia tu negocio
Algunas de las herramientas y servicios que le ayudarán a hacer crecer su negocio.
  • Invicti utiliza el Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en tan solo unas horas.
    Pruebe Invicti
  • Web scraping, proxy residencial, gestor de proxy, desbloqueador web, rastreador de motores de búsqueda, y todo lo que necesita para recopilar datos web.
    Pruebe Brightdata
  • Monday.com es un sistema operativo de trabajo todo en uno que te ayuda a gestionar proyectos, tareas, trabajo, ventas, CRM, operaciones, flujos de trabajo y mucho más.
    Prueba el lunes
  • Intruder es un escáner de vulnerabilidades en línea que encuentra puntos débiles de ciberseguridad en su infraestructura, para evitar costosas violaciones de datos.
    Prueba Intruder