代码审计--25--RIPS详细
孔山
一、软件介绍
RIPS是一个用php编写的源代码安全检测工具,它使用了静态分析技术,能够自动化地挖掘PHP源代码潜在的安全漏洞,测试人员可以直接容易的审阅分析结果,不用审阅整个程序代码。由于静态源代码分析的限制,一些漏洞预警是否真正存在,仍然需要测试人员定位到源代码进行进一步确认。
二、使用Checkmarx CxSuite
2.1、RIPS工具特点
下载地址:https://sourceforge.net/projects/rips-scanner/files/
使用方法:解压下载的zip文件到Web服务器网站目录下,在浏览器中输入Web服务器地址和对应目录进行访问
工具特点:
1、能够检测XSS、SQL注入、文件泄露、本地/远程文件包含、远程命令执行以及更多种类型的漏洞。
2、有5种级别选项用于显示以及辅助调试扫描结果。
3、标记存在漏洞的代码行。
4、对变量高亮显示。
5、在用户定义函数上悬停光标可以显示函数调用。
6、在函数定义和调用之间灵活跳转。
7、详细列出所有用户定义函数(包括定义和调用)、所有程序入口点(用户输入)和所有扫描过文件(包括include的文件)。
8、以可视化的图表展示源代码文件、包含文件、函数及其调用。
9、仅用几个鼠标点击就可以使用CURL创建针对检测到漏洞的EXP实例。
10、详细列出每个漏洞的描述、举例、PoC、补丁和安全函数。
11、7种不同的语法高亮显示模式。
12、使用自顶向下或者自底向上的方式追溯显示扫描结果。
13、一个支持PHP的本地服务器和浏览器即可满足使用需
类似资料: