RIPS- công cụ phân tích lỗ hổng trong ứng dụng web PHP

[DDos]

RIPS là một công cụ được viết bằng PHP để tìm kiếm lỗ hổng trong ứng dụng PHP sử dụng việc phân tích code tĩnh. Bằng việc chia nhỏ và phân tích tất cả các file code, RIPS có khả năng để chuyển PHP source code vào một mô hình chương trình để phát hiện các hàm tiềm ẩn khả năng bị tổn thương mà có thể bị bị phá hỏng bởi userinput trong quá trình thiết kế. Ngoài việc cho phép tìm kiếm lỗi tự động, RIPS còn cung cấp khản năng phân tích code bằng tay (manual).

Tính năng:

1. vulnerabilities

• Code Execution
• Command Execution
• Cross-Site Scripting
• Header Injection
• File Disclosure
• File Inclusion
• File Manipulation
• LDAP Injection
• SQL Injection
• Unserialize with POP
• XPath Injection
• ... other

2. code audit interface

• scan and vulnerability statistics
• grouped vulnerable code lines (bottom up or top down)
• vulnerability description with example code, PoC, patch
• exploit creator
• file list and graph (connected by includes)
• function list and graph (connected by calls)
• userinput list (application parameters)
• source code viewer with highlighting
• active jumping between function calls
• search through code by regular expression
• 8 syntax highlighting designs
• ....much more

3. static code analysis

• fast
• tokenizing with PHP tokenizer extension
• taint analysis for 232 sensitive sinks
• inter- and intraprocedural analysis
• handles very PHP-specific behaviour
• handles user-defined securing
• reconstruct file inclusions
• detect blind/non-blind exploitation
• detect backdoors
• 5 verbosity levels
• over 100 testcases
• ...much more

Một vài hình ảnh của công cụ:

Cài đặt:

1. Cài đặt local webserver parsing PHP file
   
2. Download file http://sourceforge.net/projects/rips-scanner/files/latest/download
3. Copy tất cả các file vừa tải ở bước 2 tới local webserver của bạn (thường là /var/www)
4. Đi tới đường dẫn http://localhost/rips và bắt đầu sử dụng

Cài