Утилита для анализа исходных текстов PHP - Pixy

  • 9 Ответов
  • 12740 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

Оффлайн Timon_Crazy

  • ****
  • 364
  • [+]31 / [-]4
  • Лицензнаци
    • Просмотр профиля
    • Сщастливый безумец
Представлена новая программа для анализа исходных текстов PHP скриптов на предмет наличия XSS или "SQL injection" уязвимостей - Pixy.

Программа написанная на языке Java сканирует выбранный Вами php скрипт и находит места с уязвимостью, выдает полный отчет с описанием ошибок и советы по устранению.

Также доступна  веб-версия .

ЗЫ
Перевод официального сайта программы

ЗЫЫ
Все пошол Joomla! LE тестировать. :)
ЧаВо - FAQ - Вопросы
--
Сщастливый безумец
--
не говори спасибо: + поставь
не ставь минус - поругай.

*

Оффлайн Олег

=) переписывать =)
гм..знать бы еещ что на что...
Вот строка

<link rel="shortcut icon" href="<?php echo $mosConfig_live_site;?>/templates/mbt_business/images/favicon.ico"/>

что в ней криминального?(вставлена в индекс шаблона)
Хочешь мира? Вооружайся!

*

Оффлайн smart

  • *******
  • 6843
  • [+]1311 / [-]14
  • снова дома...
    • Просмотр профиля
    • Новости Joomla на русском
что в ней криминального?(вставлена в индекс шаблона)
ну криминальным они считают то, что в строке в качестве начального пути используется переменная, т.е. теоретически, при включенном режиме register_globals можно подменить значение этой переменной и вместо указанной ссылке, у пользователя может открыться совсем другой файл. в приведенном примере, это конечно не критично, ничего там ужасного не произойдет, но если бы это была ссылка на JavaScript, было бы не очень хорошо.

Поэтому в принципе, обычно рекомендуют при указании путей к файлам, исопльзовать не переменные, а константы. Чтобы в следствии каких-то кривых настроек нельзя было переопределить их без ведома пользователя.

*

Оффлайн Aleks_El_Dia

  • *
  • 3742
  • [+]353 / [-]0
  • AEDStudio Joomla! Direction
    • Просмотр профиля
    • AEDStudio Joomla! Direction
Кто тестировал, стоит пользоваться или нет?
Спам придумали боги в отместку за наши молитвы (с) Рома Воронежский
На молоко: Z369038872422 || R210017695494 || U247040729215 || ЯД 410011288250383
Мигрирую сайты, переношу расширения J!1.0->J!1.5->J!2.5. Более 50 успешных миграций.

*

Оффлайн pantela

Smart.
А елси подставлять так тогда критический ? <?php echo $tmpTools->templateurl(); ?>/js/jquery-1.3.2.min.js"></script>

*

inventor1975

Протестил Pixy, Yasca и XSS Scanner, последний покруче. Находит и возвращаемые функциями значения и принимаемые, даже foreach отслеживает. Ищет и XSS и SQL инъекции.

А какие файлы, ну кроме php нужно указать сканеру для сканирования?
Я например попробовал чисто php - 10 минут (~10 000 файлов 102 Mb)
А потом сделал FindCompromise.jar php HTML txt XML js shtml log (через пол часа не началась даже проверка).

Не переборщил ли я с типами файлов? Может какие-то убрать, а какие-то добавить? Я слышал, что под рисунки маскируются, так может добавить еще и jpg png и т.д.

Почему то результата от XSS Scanner я так и не получил, какие-то ошибки... смотрите вложение.

[вложение удалено Администратором]
« Последнее редактирование: 15.07.2012, 15:34:18 от rabamaster »
пытаюсь освоить Joomla!

*

Оффлайн Ebelous

  • ***
  • 50
  • [+]0 / [-]0
  • Учиться,учиться и учиться!
    • Просмотр профиля
    • Питомник плодовых и декоративных культур
Уже и утилиты и веб сайта и перевода не найти

*

Оффлайн flyingspook

Уже и утилиты и веб сайта и перевода не найти

Так она и не нужна, если по хорошему.

*

Оффлайн winstrool

  • *****
  • 758
  • [+]41 / [-]2
  • Свободен для работы
    • Просмотр профиля
    • Как вылечить сайт от вирусов?
Уже и утилиты и веб сайта и перевода не найти

Утилита есть! перевод, можно взять и перевести с вэб архива!
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям