0 Пользователей и 1 Гость просматривают эту тему.
  • 9 Ответов
  • 15246 Просмотров
*

Timon_Crazy

  • Захожу иногда
  • 364
  • 31 / 4
  • Лицензнаци
Представлена новая программа для анализа исходных текстов PHP скриптов на предмет наличия XSS или "SQL injection" уязвимостей - Pixy.

Программа написанная на языке Java сканирует выбранный Вами php скрипт и находит места с уязвимостью, выдает полный отчет с описанием ошибок и советы по устранению.

Также доступна  веб-версия .

ЗЫ
Перевод официального сайта программы

ЗЫЫ
Все пошол Joomla! LE тестировать. :)
ЧаВо - FAQ - Вопросы
--
Сщастливый безумец -- не говори спасибо: + поставь не ставь минус - поругай.
*

Олег

  • Захожу иногда
  • 79
  • 1 / 0
=) переписывать =)
гм..знать бы еещ что на что...
Вот строка

<link rel="shortcut icon" href="<?php echo $mosConfig_live_site;?>/templates/mbt_business/images/favicon.ico"/>

что в ней криминального?(вставлена в индекс шаблона)
*

smart

  • Администратор
  • 6478
  • 1318 / 15
  • Хочешь сделать хорошо — сделай!
что в ней криминального?(вставлена в индекс шаблона)
ну криминальным они считают то, что в строке в качестве начального пути используется переменная, т.е. теоретически, при включенном режиме register_globals можно подменить значение этой переменной и вместо указанной ссылке, у пользователя может открыться совсем другой файл. в приведенном примере, это конечно не критично, ничего там ужасного не произойдет, но если бы это была ссылка на JavaScript, было бы не очень хорошо.

Поэтому в принципе, обычно рекомендуют при указании путей к файлам, исопльзовать не переменные, а константы. Чтобы в следствии каких-то кривых настроек нельзя было переопределить их без ведома пользователя.
*

Aleks_El_Dia

  • Живу я здесь
  • 3671
  • 353 / 0
  • AEDStudio Joomla! Direction
Кто тестировал, стоит пользоваться или нет?
Спам придумали боги в отместку за наши молитвы (с) Рома Воронежский
На молоко: Z369038872422 || R210017695494 || U247040729215 || ЯД 410011288250383
Мигрирую сайты, переношу расширения J!1.0->J!1.5->J!2.5. Более 50 успешных миграций.
*

pantela

  • Захожу иногда
  • 257
  • 1 / 0
Smart.
А елси подставлять так тогда критический ? <?php echo $tmpTools->templateurl(); ?>/js/jquery-1.3.2.min.js"></script>

Протестил Pixy, Yasca и XSS Scanner, последний покруче. Находит и возвращаемые функциями значения и принимаемые, даже foreach отслеживает. Ищет и XSS и SQL инъекции.
*

rabamaster

  • Осваиваюсь на форуме
  • 43
  • 1 / 0
А какие файлы, ну кроме php нужно указать сканеру для сканирования?
Я например попробовал чисто php - 10 минут (~10 000 файлов 102 Mb)
А потом сделал FindCompromise.jar php HTML txt XML js shtml log (через пол часа не началась даже проверка).

Не переборщил ли я с типами файлов? Может какие-то убрать, а какие-то добавить? Я слышал, что под рисунки маскируются, так может добавить еще и jpg png и т.д.

Почему то результата от XSS Scanner я так и не получил, какие-то ошибки... смотрите вложение.

[вложение удалено Администратором]
« Последнее редактирование: 15.07.2012, 13:34:18 от rabamaster »
*

Ebelous

  • Захожу иногда
  • 206
  • 1 / 0
  • Учиться,учиться и учиться!
Уже и утилиты и веб сайта и перевода не найти
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Уже и утилиты и веб сайта и перевода не найти

Так она и не нужна, если по хорошему.
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Уже и утилиты и веб сайта и перевода не найти

Утилита есть! перевод, можно взять и перевести с вэб архива!
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться