PHP Vulnerability Hunter v.1.1.4.6 é uma ferramenta que tem como objetivo buscar vulnerabilidades em aplicações PHP desenvolvidas para WEB. Ela foi criada para auxiliar desenvolvedores na difícil missão de dizer se o seu código é seguro ou não. 🙂
Eu achei interessante o fato de você poder utilizar a ferramenta apontando-a direto para o diretório onde ficam os arquivos e não para uma URL. Feito isso, você a inicia e ela vai a caça de possíveis problemas de segurança no código trazendo um relatório detalhado do que está com problemas.
Vejam algumas de suas features:
- Added code coverage report
- Updated GUI validation
- Several instrumentation fixes
- Fixed lingering connection issue
- Fixed GUI and report viewer crashes related to working directory
Alguns colegas desenvolvedores já começaram a testar esta ferramenta e disseram que ela é bem legal, mas eles não excluíram a necessidade de executar um scan remoto. Eu não acredito que um dia iremos substituir scanns remotos para saber se aquela aplicação/portal/site está seguro ou não.
Atualização: Estou tirando a minha recomendação de utilizar está ferramenta, acabei de saber que ela conseguiu a façanha de dar um boot no meu server com 8 processadores e 32GB de RAM, além de ferrar com um monte de arquivos PHP. O pessoal do DClabs também reportou problemas.
Então o aviso é o seguinte: Não utilizem este cara em ambiente produtivo ou em qualquer coisa que você esteja trabalhando e que valha dinheiro..
A ferramenta é bacana, porém dependendo do código analisado e da resposta do servidor ele costuma travar. Como ele faz hooking dos arquivos e escreve nos mesmos, se a aplicação travar no meio do scan ele pode ferrar os php´s. Então, faça backup do seus códigos antes de executar. Pude reparar também que os bugs que ele encontra são bem específicos, caso o código fuja um pouco do padrão mesmo que esteja “bugado” não será encontrado, mas de qualquer forma vale a pena coloca-lo no seu research bug cycle.
Bacana essa ferramenta, alguém conhece uma ferramenta para .asp
Tentei usar em duas maquinas diferentes, mas o programa travou.
Vale lembrar novamente que vc deve fazer um BKP da aplicação pelo fato do programa escrever nos arquivos para fazer os testes.