Мне нужно убедиться, что PHP-сайты, которые я администрирую, не имеют общих ошибок PHP, таких как SQL-инъекция, неправильно настроенные разрешения для файлов и папок и т.д. По сайту я имею в виду, например, сайт Joomla с плагинами и модулями. Выполнение этой проверки безопасности вручную может занять много времени, и автоматическое тестирование может выполняться ежедневно, чтобы убедиться, что ничего не изменилось.
Итак, мой вопрос в том, есть ли какое-нибудь хорошее автоматизированное программное обеспечение для этого или я должен сам написать код?
Использование fuzzer - хорошая идея. Но вы также можете попробовать самостоятельно кодировать автоматизированную систему, так как это повысит ваши знания о php и проблемах безопасности/петлевых дыр на ваших php-сайтах.
Я лично использовал Google Skipfish и узнал бы себя, если есть проблемы, а затем создайте свои собственные только для ваших нужд и удобства использования. Удачи!
Это можно сделать с помощью fuzzer или сканер уязвимостей.
Я использовал netsparker http://www.mavitunasecurity.com/
Не совсем то, что вам нужно, но это может многое помочь:)
Вы должны сделать то и другое. Просмотрите свой код и найдите возможные SQL-инъекции и т.д.
Google выпустил очень хороший инструмент под названием " Skipfish", который сканирует ваше приложение на наличие общих дыр в безопасности/шаблонов атак.
Я рекомендую использовать проект с открытым исходным кодом wapiti, который будет тестировать XSS, SQLi, LFI/RFI и многие другие. Существует также коммерческий продукт Sitewatch ($), а лучший NTOSpider ($$$$$).
Чтобы ознакомиться с общими недостатками веб-безопасности, вы также можете изучить Webgoat
Вы можете использовать инструмент анализа статического кода, например. RIPS для PHP, чтобы проанализировать ваш полный исходный код для уязвимостей безопасности. Fuzzing вашего сайта извне может не охватывать все пути кода и игнорировать проблемы.
Я сомневаюсь, что там что-то хорошее (так, на 100% надежное) - это автоматизировано. Но хорошей темой для обсуждения может стать эта проблема на SO, поскольку в ней перечислены "исторические недостатки безопасности".
RFI, LFI, SQL Injection, слишком много для обсуждения и, вероятно, слишком скучно читать по одному. Я предлагаю вам вместо этого использовать fuzzer. Там много бесплатных и вот статья wiki об этом: http://en.wikipedia.org/wiki/Fuzz_testing
Это новый и хороший инструмент для тестирования, который может быть использован от веб-разработчиков, тестировщиков проникновения или даже исследователей безопасности для тестирования веб-приложений с целью поиска ошибок, ошибок или уязвимостей. Стоит попробовать Commix