PHP代码扫描审计工具:RIPS

背景

有个项目需要检查标的公司的源代码,标的公司有部分源码是PHP,因此找了找相关免费开源的代码扫描工具 ~

RIPS是一个用 PHP 编写的源代码分析工具,它使用了静态分析技术,能够自动化地挖掘 PHP 源代码潜在的安全漏洞。

最重要的是他扫描结果是一个看起来还不错的报告,可以直接拿来放到项目报告中~

下载安装

RIPS运行在PHP环境中,检验的是PHP代码,手里应该有PHP运行环境~

如果没有,就快速安装一个PHP集成运行环境~ PHP集成运行环境:phpStudy – 编码者 (zhuchengliang.com)

扫描代码

我用wordpress作为被扫描的代码,结果报错了~

重新跑了几次,并盯了一下,发现是在扫描WWW\wordpress\wp-includes\ID3目录下文件的时候超时报错~ (不想去看啥原因)

直接删除ID3文件夹重新来过,然后就跑出了漂亮的结果:

参考资料

  1. PHP代码审计工具——Rips详细使用教程 – 简书 (jianshu.com)
  2. 官网:RIPS – free PHP security scanner using static code analysis (sourceforge.net)

发表回复

您的电子邮箱地址不会被公开。