web-dev-qa-db-fra.com

Comment puis-je tester PHP sécurité du site pour les failles de sécurité les plus courantes?

Je dois m'assurer que PHP sites que j'administre n'a pas de défauts communs PHP, comme l'injection SQL, les autorisations mal configurées pour les fichiers, les dossiers, etc. Par site, je veux dire par exemple, le site Joomla avec des plugins et des modules. Effectuer cette vérification de sécurité manuellement peut prendre beaucoup de temps et un test automatisé peut être exécuté quotidiennement pour s'assurer que rien n'a changé.

Donc, ma question est la suivante: existe-t-il un bon logiciel automatisé pour cela ou dois-je en coder un moi-même?

29
newbie

Utiliser un fuzzer est une bonne idée. Mais, vous pouvez aussi essayer de coder vous-même un système automatisé, car cela vous permettra de mieux connaître php ainsi que les problèmes de sécurité et les failles de sécurité dans vos sites php. 

Personnellement, je voudrais utiliser le Skipfish de Google et découvrir par vous-même les problèmes éventuels, puis créer le vôtre en fonction de vos besoins et de sa facilité d'utilisation. Bonne chance!

8
ryryan

J'utilise netsparker http://www.mavitunasecurity.com/

Pas exactement ce dont vous avez besoin, mais ça peut aider beaucoup :)

4
DiogoNeves

Cela peut être fait avec un fuzzer ou un scanner de vulnérabilité Web .

4
Sjoerd

Vous devriez faire les deux. Passez en revue votre code et recherchez les éventuelles Injections SQL, etc.

Google a publié un outil très agréable appelé " Skipfish " qui analyse votre application à la recherche de failles de sécurité/modèles d'attaque courants.

2
halfdan

Vous pouvez utiliser un outil d'analyse de code statique, par exemple. RIPS pour PHP, pour analyser votre code source complet pour détecter les failles de sécurité. Fuzzing votre site Web de l'extérieur peut ne pas couvrir tous les chemins de code et négliger des problèmes.

1
Johannes

Pour vous familiariser avec les failles de sécurité Web courantes, vous pouvez également explorer Webgoat

Je recommande d'utiliser le projet open source wapiti qui testera XSS, SQLi, LFI/RFI et bien d'autres. Il existe également le produit commercial Sitewatch ($), et le meilleur est NTOSpider ($$$$$).

1
rook

Ceci est un nouvel et bon outil de test, il peut être utilisé par des développeurs Web, des testeurs d'intrusion ou même des chercheurs en sécurité pour tester des applications Web en vue de détecter des bugs, des erreurs ou des vulnérabilités. Il vaut la peine d'essayer Commix

0
StefanoWP

Je doute qu'il y ait quelque chose de bon (donc fiable à 100%): c'est automatisé. Mais un sujet intéressant à aborder pourrait être celui sur SO, car il répertorie les "failles de sécurité historiques".

Les failles de sécurité historiques des PHP CMS populaires?

0
CharlesLeaf

RFI, LFI, SQL Injection, trop nombreux pour être discutés et probablement trop ennuyeux pour être lus un à un. Je vous suggère d'utiliser un fuzzer à la place. Il existe de nombreux logiciels gratuits et voici un article wiki à ce sujet: http://en.wikipedia.org/wiki/Fuzz_testing

0
Ruel