日记

RIPS自动化地挖掘Typecho源代码安全漏洞

RIPS是一个源代码分析工具,它使用了静态分析技术,能够自动化地挖掘PHP源代码潜在的安全漏洞。渗透测试人员可以直接容易的审阅分析结果,而不用审阅整个程序代码。由于静态源代码分析的限制,漏洞是否真正存在,仍然需要代码审阅者确认。RIPS能够检测XSS, SQL注入, 文件泄露, LFI/RFI, RCE漏洞等。目前RIPS更新至0.55版。使用起来很简单,我们现在来对typehco1.0版本进行扫描试下效果环境安装rips并不需要特别的环境,只要能够正常运行php的环境即可。现在我们以ubuntu为例,简单说明一下apache环境的搭建。

然后浏览器访问rips,譬如http://1.1.1.1,path中填写typecho源代码所在路径,即/var/typecho,同时勾选“subdirs”,表示递归扫描子目录点击scan开始扫描,扫描结果如下:共发现8个疑似问题!是不是小心脏有稍稍小激动?不过,这些都是疑似问题哈,还需要安全审计人员深入代码去审查,才能最终确定问题。
查看原文

(0)

本文由 姬長信 创作,文章地址:https://blog.isoyu.com/archives/1474.html
采用知识共享署名4.0 国际许可协议进行许可。除注明转载/出处外,均为本站原创或翻译,转载前请务必署名。最后编辑时间为:10月 24, 2016 at 11:15 上午

热评文章

发表评论

[必填]

看不清?

提交后请等待三秒以免造成未提交成功和重复