代码审计工具 ,支持php ,如下:
CodeScan – [ .ASP, PHP ] – http://www.codescan.com/
CodeSecure – [ PHP, Java ] – http://www.armorize.com/corpweb/en/products/codesecure
PHP-Sat – [ PHP ] – http://www.program-transformation.org/PHP/PhpSat
Pixy – [ PHP ] – http://pixybox.seclab.tuwien.ac.at/pixy/index.php
RATS – [ C, C++, Perl, PHP, Python ] –http://www.fortify.com/security-resources/rats.jsp
Skavenger – [ PHP ] – http://code.google.com/p/skavenger/
smarty-lint – [ PHP ] – http://code.google.com/p/smarty-lint/
Spike PHP Security Audit Tool – [ PHP ] – http://developer.spikesource.com/projects/phpsecaudit/
SWAAT – [ PHP, ASP.NET, JSP, Java ] – http://www.owasp.org/index.php/Category:OWASP_SWAAT_Project
Fortify – http://www.fortifysoftware.com
[补充]
1.CodeScan
官方网站:http://www.codescan.com
这个比较老牌了。市面上流出的版本好像就是 1.6和1.9的crack,商业软件,比较蛋疼。不过GUI界面操作起来很方便。
这里也不多说什么,主要是Include的提示设置,装过软件自己看看就知道了。
2.RIPS
官方网站:http://rips-scanner.sourceforge.net/
PHP写的,需要环境,直接解压到wwwroot就好了。不适合扫描整个文件夹项目,或者要修改PHP配置,把代码执行超时的时间设置大一点。
总体来说还是很不错,It’s free.
3.PHPXref
官方网站:http://phpxref.com/
严格的说PHPxref也是做开发的好帮手,它能将某一个程序(如Wordpress)中所有的函数、变量、常量等分类记录,
生成一个HTML网页列表,你可以轻松地在这个列表中找到某个函数在什么位置被定义,在什么位置被引用。所以说非常适合大型项目。
同时还是最主要的,It’s free.
没有回复内容