Además de la salida estructurada de las vulnerabilidades encontradas, RIPS también ofrece un marco de código de auditoría integrada para el análisis manual posterior.
Interfaz de auditoría de código:
- Escaneo de vulnerabilidades y estadísticas (XSS, SQLi, descubrimiento de ficheros, LFI/RFI, RCE y más)
- Agrupación de líneas de código vulnerables (de abajo a arriba o de arriba hacia abajo)
- Descripción de vulnerabilidades con ejemplos de código, PoC, creador de parches de exploits
- Lista de archivos y gráficos (conectados por includes)
- Lista de funciones y gráficos (conectados por calls)
- Lista de entradas de usuario (parámetros de la aplicación)
- Visor de código fuente con resaltado de sintaxis
- Saltos activos entre llamadas a funciones
- Búsqueda en el código mediante expresiones regulares
- 8 diseños de resaltado de sintaxis
Esta herramienta se une a varios proyectos que he usado en el transcurso de las auditorias a código php4 , no estoy seguro pero puedo afirmar que estos frameworks no funcionan sobre la versión orientada a objetos lo cual podría ser la principal desventaja.
Los otros frameworks para auditoría de código son:
PHP Security Scanner
Yasca
PHP Security Audit Tool
Fuente del post: http://www.hackplayers.com/2012/07/rips-un-analizador-de-codigo-estatico.html
Fuente del frame:http://sourceforge.net/projects/rips-scanner/
Entradas
No hay comentarios:
Publicar un comentario