RIPS PHP源碼靜態分析

標籤：下載   分析工具   限制   tar   源碼   安全   滲透   資訊   需要   

0x00背景

對於PHP代碼審計的需求，我們當然需要一款好的php代碼審計分析工具--RIPS，它使用了靜態分析技術，能夠自動化地挖掘PHP原始碼潛在的安全性漏洞如XSS ，sql注入，敏感資訊洩漏，檔案包含等常見漏洞；也可以採用正則方式掃描碼發現漏洞；還能夠採用自訂的文法掃描碼發現問題。滲透測試人員可以直接容易的審閱分析結果，而不用審閱整個程式碼。由於靜態原始碼分析的限制，漏洞是否真正存在，仍然需要代碼檢閱者確認。

0x01 下載與安裝

：https://sourceforge.NET/projects/rips-scanner/

解壓到網站根目錄：C:\xampp\htdocs\rips

在瀏覽器中開啟：http://localhost/rips/

0x02 專項審計1 SQL注入

2 跨站指令碼

3 檔案包含

4 代碼執行

5 檔案上傳

0x03 整體審計1 單一項目整體審計

2 所有項目整體審計

 

RIPS PHP源碼靜態分析（轉）