PHP Vulnerability Hunter v.1.1.4.6 é uma ferramenta que tem como objetivo buscar vulnerabilidades em aplicações  PHP desenvolvidas para WEB. Ela foi criada para auxiliar desenvolvedores na difícil missão de dizer se o seu código é seguro ou não. 🙂

Eu achei interessante o fato de você poder utilizar a ferramenta apontando-a direto para o diretório onde ficam os arquivos e não para uma URL. Feito isso, você a inicia e ela vai a caça de possíveis problemas de segurança no código trazendo um relatório detalhado do que está com problemas.

Vejam algumas de suas features:

  • Added code coverage report
  • Updated GUI validation
  • Several instrumentation fixes
  • Fixed lingering connection issue
  • Fixed GUI and report viewer crashes related to working directory

Alguns colegas desenvolvedores já começaram a testar esta ferramenta e disseram que ela é bem legal, mas eles não excluíram a necessidade de executar um scan remoto. Eu não acredito que um dia iremos substituir scanns remotos para saber se aquela aplicação/portal/site está seguro ou não.

Atualização: Estou tirando a minha recomendação de utilizar está ferramenta, acabei de saber que ela conseguiu a façanha de dar um boot no meu server com 8 processadores e 32GB de RAM, além de ferrar com um monte de arquivos PHP. O pessoal do DClabs também reportou problemas.

Então o aviso é o seguinte: Não utilizem este cara em ambiente produtivo ou em qualquer coisa que você esteja trabalhando e que valha dinheiro..

Compartilhar:

Este post tem 3 comentários

  1. A ferramenta é bacana, porém dependendo do código analisado e da resposta do servidor ele costuma travar. Como ele faz hooking dos arquivos e escreve nos mesmos, se a aplicação travar no meio do scan ele pode ferrar os php´s. Então, faça backup do seus códigos antes de executar. Pude reparar também que os bugs que ele encontra são bem específicos, caso o código fuja um pouco do padrão mesmo que esteja “bugado” não será encontrado, mas de qualquer forma vale a pena coloca-lo no seu research bug cycle.

  2. Bacana essa ferramenta, alguém conhece uma ferramenta para .asp

  3. Tentei usar em duas maquinas diferentes, mas o programa travou.
    Vale lembrar novamente que vc deve fazer um BKP da aplicação pelo fato do programa escrever nos arquivos para fazer os testes.

Deixe uma resposta

Fechar Menu