Es gibt viele PHP-Tools, um die Sicherheit eines Codes zu testen. So sehr man sich auch bemüht, einen wasserfesten Code zu schreiben, es gibt doch fast immer noch Sicherheitslücken, die man leicht übersieht. Zum Glück gibt es jedoch ein paar Werkzeuge die sich als mächtige und aussagekräftige Heferlein bewährt haben. Einige der besten Tools zum Aufspüren von PHP Sicherheitslücken sind meiner Meinung nach: PhpSecInfo, PHP Security Scanner und Spike PHP Security-Audit-Tool. Die Tools sind vor allem selbsterklärend und leicht anzuwenden. Schaut euch diese Helferlein mal an, probiert sie aus und schreibt mir, was ihr davon haltet
Ist es den noch sinnvoll, diese „Programme“ einzusetzen, sind alle aus dem Jahr 2007 und anscheinend seit dem nicht weiter entwickelt wurde. Vermittel sie dann nicht ein trügerisches Gefühl der Sicherheit, weil sie „neue Probleme/Sicherheitslücken“ gar nicht kennen?
Bzw. es gibt doch bestimmt einen Grund dafür, das alle nicht mehr weiter entwickelt werden!?
mfg
IchBinIch
@IchBinIch: Ja, da kann ich dich sehr gut verstehen. Jedoch finde ich die Tools immer noch ganz gut. Am besten ist es wenn man alle drei verwendet. Jedes Tool liefert dir nützliche Infos über den Zustand deines Projektes, das eine mal mehr und das andere mal weniger. Wenn mal alle Infos zusammen bündelt, wirst du dann sehen, das die Tools immer noch was taugen. Vor allem der Einsatz in älteren Projekten ist sehr empfehlenswert. Außerdem, die Attacken haben sich auch nicht viel komplexer verändert, aber auch nicht so viel dass diese Tools sie nicht erkennen können.
p.s. Wie sind deine Erfahrungen? Kannst du andere und neue Tools oder Techniken empfehlen?
Gruß,
Gjero
Soll zwar auch nicht das gelbe vom Ei sein, aber vielleicht ist Google Skipfish trotzdem einen Blick wert: http://code.google.com/p/skipfish/
Ok, dann werde ich mir die Tools bei Zeiten (noch mal näher) ansehen.
Zu meinen Eigenen Erfahrungen, leider sind da noch nicht viele vorhanden, allerdings ist vor eingier Zeit mal dieser Link: http://www.limespace.de/2010/06/05/sicherheitslocher-in-php-scripten-finden/ durch meine Feeds gegeist. Richtig empfehlen kann ich es nicht weil ich nur mal kurz drüber geschaut habe und es da nicht ganz verstanden habe. Aber ich glaube das Tool lohnt einen zweiten Blick. (Wenn du es verstehst und empfehlen kannst, wäre das ja ein Thema für einen Blog-Eintrag ;) )
mfg
IchBinIch
//EDIT: Ich habe vorhin schon mal versuch diesen Kommentar abzuschicken, aber das hat wohl nicht funktioniert …