ubuntuusers.de

Hallo zusammen!

Ich suche ein Tool, mit dem man PHP-Code automatisch auf mögliche Sicherheitslöcher durchsuchen lassen kann. Gibt es so etwas?

Danke für alle Antworten im Voraus!

Hmm das würde mich auch interessieren, kann ich mir aber nicht vorstellen das es sowas gibt...

Denn wenn es so ein Tool gäbe und es zuverlässig und gut wäre,
wäre es bekannt in der PHP-Entwickler Scene wie Firefox unter den Browsern... 😉

Ich habe es selbst noch nicht ausprobiert, aber vielleicht ist es dir Wert einen Blick auf http://chorizo-scanner.com/ zu werfen und dann von deinen Erfahrungen zu berichten.

Gruß
Christian

Ich glaube der beste Codescanner ist immer noch $HUMANBEEING_MIT_ERFAHRUNG.

Danke für den Tipp, Unitet20!

Das Projekt, um das es geht, ist noch lange nicht fertig. Falls wir dieses Tool einsetzen, werde ich hier berichten.

comm@nder hat geschrieben:

Ich glaube der beste Codescanner ist immer noch $HUMANBEEING_MIT_ERFAHRUNG.

dito.

Was nützt euch ein Tool was euch Fehler anzeigt die in eurem QC entstehen? Nüx, denn besser ist es doch wenn alles von vornherein schon "sicher" ist. Bekanntlich in PHP sind Sicherheitslücken wie: register_gloabls nicht beachtet, SQL-Injection, etc pp. Wenn es dazu noch nix gibt kann ich sicherlich dazu mal ein Wiki schreiben, vorrausgesetzt es besteht interesse ☺

Gut Schuß
VuuRWerK 😉

@ VuuRWerK:

Danke, aber das ist ja an sich kein Ubuntu-spezifisches Thema. Eine FAQ zum Thema PHP-Sicherheit gibt es z.B. hier: http://www.php-faq.de/ch/ch-security.html

Alle Themen: http://www.php-faq.de/

Nein ist es nicht, aber ich wollt wenigstens meinen guten Willen zeigen 😉

Gut Schuß
VuuRWerK 😉

VuuRWerK hat geschrieben:

comm@nder hat geschrieben:

Ich glaube der beste Codescanner ist immer noch $HUMANBEING_MIT_ERFAHRUNG.

dito.

Was nützt euch ein Tool was euch Fehler anzeigt die in eurem QC entstehen? Nüx, denn besser ist es doch wenn alles von vornherein schon "sicher" ist. Bekanntlich in PHP sind Sicherheitslücken wie: register_globals nicht beachtet, SQL-Injection, etc. pp. Wenn es dazu noch
nix gibt kann ich sicherlich dazu mal ein Wiki schreiben, vorausgesetzt es besteht Interesse ☺.

Gut Schuß
VuuRWerK 😉

Mir nützt es doch, denn: Es ist (IMHO/meiner Meinung nach) grob fahrlässig ☹ (Ich bin aber kein Anwalt!), davon auszugehen, dass etwas von vornherein sicher ist, also muss ich entweder viel Zeit und Mühe dazu verwenden, möglichst viele der vorhandenen Sicherheitslücken zu finden, oder ich benutze ein Werkzeug, das die genannten Fehler möglichst zuverlässig automatisch finden kann (comm@nder: das letzte Wort muss natürlich der Mensch haben), dann geht es (hoffentlich und meiner Erwartung nach!) viel schneller und die gesparte Zeit ist ganz bestimmt Nutzen, für dich (VuuRWerK) nicht ? 😮

Mit freundlichen, aber überraschten Grüßen

mabri

"oder" ist hierbei definitiv der falsche Ansatz. Es kann nur ein "und" geben, alles andere wäre noch fahrlässiger. Viele Sicherheitslücken abseits von Pufferüberläufen (für PHP ja nicht interessant) etc. sind tief in der Programmstruktur verwurzelte Wechselwirkungen, die so ein Programm sicherlich nicht aufspüren kann.

Aber bitte nicht so verstehen das ich Quellcode produziere den ich nicht mehr kontrolliere auf Sicherheitslücken oder Fehler. Das tue ich serwohl. Ich meinte mit, von vornherein ausgehen, dass man schon solche Sachen wie register_globals oder SQL-Injection schon beim programmieren beachtet und es sich nicht erst von einem gesonderten Tool ausspucken lässt. In PHP ist es leider so das man nicht alle Sicherheitslücken schließen kann. Da hilft einem auch nicht ein Tool was es einem am Ende berichtet sich aber nicht beheben lässt. Wenn das Tool allerdings solche Sicheitslücken verschweigen würde wäre es sowieso ein nicht vertrauenswürdiges Tool.

Nichtsdestotrotz meinte ich vorallem das man schon beim programmieren darauf achten sollte das es Sicheitslücken gibt und es gilt diese zu schließen, soweit es einem die jeweilige Programmiersprache zulässt!

Gut Schuß
VuuRWerK 😉

SirSiggi hat geschrieben:

"oder" ist hierbei definitiv der falsche Ansatz. Es kann nur ein "und" geben, alles andere wäre noch fahrlässiger. Viele Sicherheitslücken abseits von Pufferüberläufen (für PHP ja nicht interessant) etc. sind tief in der Programmstruktur verwurzelte Wechselwirkungen, die so ein Programm sicherlich nicht aufspüren kann.

Entschuldigung für das Missverständnis 😳, ich meine auch, dass man sich beim Suchen nach Sicherheitslücken nicht auf Programme verlassen darf, sondern immer selbst prüfen muss. Wenn so ein Tool etwas taugt, kann es aber zusätzlich dabei unterstützen, so dass man nicht ganz so lange braucht, richtig ?

Mit freundlichen Grüßen

mabri