Форум русской поддержки Joomla!® CMS
26.06.2017, 00:57:49 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Утилита для анализа исходных текстов PHP - Pixy

 (Прочитано 12243 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Timon_Crazy
Давно я тут
****

Репутация: +31/-4
Offline Offline

Пол: Мужской
Сообщений: 364


Лицензнаци


« : 05.07.2007, 08:37:22 »

Представлена новая программа для анализа исходных текстов PHP скриптов на предмет наличия XSS или "SQL injection" уязвимостей - Pixy.

Программа написанная на языке Java сканирует выбранный Вами php скрипт и находит места с уязвимостью, выдает полный отчет с описанием ошибок и советы по устранению.

Также доступна  веб-версия .

ЗЫ
Перевод официального сайта программы

ЗЫЫ
Все пошол Joomla! LE тестировать. Azn
Записан
 
Олег
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 79


« Ответ #1 : 16.01.2008, 02:39:51 »

=) переписывать =)
гм..знать бы еещ что на что...
Вот строка

<link rel="shortcut icon" href="<?php echo $mosConfig_live_site;?>/templates/mbt_business/images/favicon.ico"/>

что в ней криминального?(вставлена в индекс шаблона)
Записан
smart
Администратор
*******

Репутация: +1309/-14
Offline Offline

Пол: Мужской
Сообщений: 6850


снова дома...


« Ответ #2 : 21.07.2008, 00:23:50 »

что в ней криминального?(вставлена в индекс шаблона)
ну криминальным они считают то, что в строке в качестве начального пути используется переменная, т.е. теоретически, при включенном режиме register_globals можно подменить значение этой переменной и вместо указанной ссылке, у пользователя может открыться совсем другой файл. в приведенном примере, это конечно не критично, ничего там ужасного не произойдет, но если бы это была ссылка на JavaScript, было бы не очень хорошо.

Поэтому в принципе, обычно рекомендуют при указании путей к файлам, исопльзовать не переменные, а константы. Чтобы в следствии каких-то кривых настроек нельзя было переопределить их без ведома пользователя.
Записан
Aleks_El_Dia
JComments Tester
*

Репутация: +353/-0
Offline Offline

Пол: Мужской
Сообщений: 3744


AEDStudio Joomla! Direction


« Ответ #3 : 28.07.2009, 16:01:11 »

Кто тестировал, стоит пользоваться или нет?
Записан
pantela
Давно я тут
****

Репутация: +1/-0
Offline Offline

Сообщений: 257



« Ответ #4 : 19.04.2011, 11:51:06 »

Smart.
А елси подставлять так тогда критический ? <?php echo $tmpTools->templateurl(); ?>/js/jquery-1.3.2.min.js"></script>
Записан
inventor1975
Гость
« Ответ #5 : 14.05.2011, 22:24:29 »

Протестил Pixy, Yasca и XSS Scanner, последний покруче. Находит и возвращаемые функциями значения и принимаемые, даже foreach отслеживает. Ищет и XSS и SQL инъекции.
Записан
rabamaster
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 43


« Ответ #6 : 15.07.2012, 13:17:14 »

А какие файлы, ну кроме php нужно указать сканеру для сканирования?
Я например попробовал чисто php - 10 минут (~10 000 файлов 102 Mb)
А потом сделал FindCompromise.jar php HTML txt XML js shtml log (через пол часа не началась даже проверка).

Не переборщил ли я с типами файлов? Может какие-то убрать, а какие-то добавить? Я слышал, что под рисунки маскируются, так может добавить еще и jpg png и т.д.

Почему то результата от XSS Scanner я так и не получил, какие-то ошибки... смотрите вложение.

[вложение удалено Администратором]
« Последнее редактирование: 15.07.2012, 13:34:18 от rabamaster » Записан
Ebelous
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 54


Учиться,учиться и учиться!


« Ответ #7 : 20.03.2017, 01:10:54 »

Уже и утилиты и веб сайта и перевода не найти
Записан
flyingspook
Moderator
*****

Репутация: +242/-9
Offline Offline

Сообщений: 3763


« Ответ #8 : 20.03.2017, 15:32:12 »

Уже и утилиты и веб сайта и перевода не найти

Так она и не нужна, если по хорошему.
Записан
winstrool
Завсегдатай
*****

Репутация: +41/-2
Offline Offline

Пол: Мужской
Сообщений: 794


Свободен для работы


« Ответ #9 : 20.03.2017, 15:56:51 »

Уже и утилиты и веб сайта и перевода не найти

Утилита есть! перевод, можно взять и перевести с вэб архива!
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet