PHP merupakan bahasa pemrograman yang mendominasi sekitar 80% pasar web. Misalnya WordPress, Joomla, Laravel, Drupal, dll. Dalam penggunaanya PHP bisa dikatakan aman, namun ada kerentanan ketika menggunakan dengan beberapa platform tersebut. Setelah pengembangan situs atau aplikasi web yang kompleks, sebagian besar pengembang dan pemilik cenderung fokus pada fungsionalitas, desain, SEO, dan sehingga melupakan komponen penting dari sebuah keamanan.
Berikut beberapa tools yang kami rangkum untuk membantu Anda melakukan pemindai keamanan PHP untuk aplikasi yang akan Anda luncurkan:
1. RIPS
RIPS adalah salah satu alat analisis kode statis PHP yang populer untuk diintegrasikan melalui siklus pengembangan untuk menemukan masalah keamanan secara waktu nyata. Anda dapat mengkategorikan temuan berdasarkan kepatuhan industri dan standar untuk memprioritaskan perbaikan.
- OWASP Top 10
- SANS Top 25
- PCI-DSS
- HIPPA
Mari kita lihat beberapa fitur berikut.
- Menentukan risiko berdasarkan keparahan dan opsi untuk menentukan bobot untuk kritis, tinggi, sedang, dan rendah.
- Berkolaborasi penyelidikan dan memprioritaskan masalah ini
- Memahami dampak kerentanan
- Mengevaluasi risiko keamanan antara kode lama dan baru
- Buat daftar tugas dan tugaskan menggunakan sistem tiket
RIPS memungkinkan Anda mengekspor laporan hasil pemindaian ke dalam berbagai format – PDF, CSV, dan lainnya dengan menggunakan RESTful API.
Ini tersedia sebagai model yang dikelola sendiri dan SaaS. Jadi pilih yang cocok untuk Anda.
2. Exakat
Mesin penganalisa kode statis real-time untuk memeriksa kepatuhan, risiko, dan memperkuat praktik terbaik. Exakat mendapat lebih dari 450 analisis yang didedikasikan untuk PHP. Ada beberapa analisa spesifik kerangka kerja seperti WordPress , CakePHP, Zend, dll.
Jika Anda memiliki kode aplikasi PHP di GitHub, maka Anda dapat menggunakan penganalisa publik mereka yang lain, Anda dapat memilih untuk mengunduh atau menggunakan online berbasis cloud.
Dengan bantuan Exakat, Anda dapat mengintegrasikan keamanan abadi ke dalam aplikasi Anda dan yang berikut.
- Peninjauan kode terotomatisasi dengan lebih dari 100 aturan
- Kepatuhan siap
- Otomatiskan dokumentasi kode Anda
- Migrasi PHP 7 menjadi mudah
Dengan pelaporan yang kuat, Anda dapat memprioritaskan perbaikan.
Baca Juga: 9 Cara Belajar Pemrograman dengan Cepat
3. PMF
PHP Malware Finder (PMF) adalah solusi yang di-host sendiri untuk membantu Anda menemukan kode berbahaya yang mungkin ada dalam file. Diketahui untuk mendeteksi cerdik, encoders, obfuscators, web shellcode.
PMF memanfaatkan YARA, jadi Anda membutuhkannya sebagai prasyarat untuk menjalankan tes.
4. PHPStan
PHPStan adalah alat yang luar biasa untuk menemukan bug saat Anda menulis kode. Anda tidak perlu menjalankan apa pun.
contoh phpstan
Anda dapat mencoba versi online di sini .
PHPStan memerlukan versi dan komposer 7,1 atau lebih tinggi untuk menggunakannya. Namun, ini mampu menemukan bug dari versi yang lebih lama.
5. SonarPHP
SonarPHP oleh SonarSource menggunakan pencocokan pola, teknik aliran data untuk menemukan kerentanan dalam kode PHP. Ini adalah penganalisa kode statis dan terintegrasi dengan Eclipse, IntelliJ.
SonarSource memeriksa kode terhadap lebih dari 140 aturan, dan juga mendukung aturan khusus yang ditulis dalam Java.
Baca Juga: Masa Depan PHP untuk Web Development
6. Progpilot
Analyzer statis Progpilot memungkinkan Anda menentukan jenis analisis seperti GET, POST, COOKIE, SHELL_EXEC, dll. Ini mendukung kerangka suiteCRM dan CodeIgniter saat ini.
7. Psalm
Dibangun di atas PHP Parser, Psalm baik untuk menemukan kesalahan dan membantu menjaga konsistensi untuk aplikasi yang lebih baik dan aman.
8. PHP Vulnerability Hunter
Fuzzer untuk mencari kerentanan menggunakan analisis statis dan dinamis. Ini pemburu mampu berburu berikut.
- Skrip lintas situs
- Injeksi SQL
- Pembacaan file sewenang-wenang dan eksekusi perintah
- Inklusi file lokal
- Pengungkapan jalur lengkap
Pemindaian dilakukan dalam tiga fase – inisialisasi, pemindaian dan un-inisialisasi
9. Symfony
Pemantauan Keamanan oleh Symfony bekerja dengan setiap proyek PHP menggunakan komposer. Ini adalah database penasihat keamanan PHP untuk kerentanan yang diketahui. Anda bisa menggunakan PHP-CLI, Symfony-CLI, atau berbasis web untuk memeriksa composer lock untuk setiap masalah yang diketahui dengan perpustakaan yang Anda gunakan dalam proyek
Symfony juga menawarkan layanan pemberitahuan keamanan. Itu berarti Anda dapat mengunggah file composer.lock Anda, dan kapan pun di masa depan setiap pustaka yang digunakan ternyata rentan, Anda akan diberi tahu.
10. Grabber
Grabber alat berbasis python untuk melakukan analisis hibrida pada aplikasi berbasis PHP menggunakan PHP-SAT. Grabber juga tersedia di Kali, Linux .
Kesimpulan
Dengan adanya rekomendasi tools Pemindai Keamanan PHP untuk Menemukan Kerentanan tersebut bisa membantu Anda untuk membuat aplikasi PHP Anda lebih aman. Semua alat atau tools fokus pada menganalisis kode sumber.