PHP Vulnerability Hunter v.1.1.4.6

PHP Vulnerability Hunter v.1.1.4.6 é uma ferramenta que tem como objetivo buscar vulnerabilidades em aplicações  PHP desenvolvidas para WEB. Ela foi criada para auxiliar desenvolvedores na difícil missão de dizer se o seu código é seguro ou não. 🙂

Eu achei interessante o fato de você poder utilizar a ferramenta apontando-a direto para o diretório onde ficam os arquivos e não para uma URL. Feito isso, você a inicia e ela vai a caça de possíveis problemas de segurança no código trazendo um relatório detalhado do que está com problemas.

Vejam algumas de suas features:

  • Added code coverage report
  • Updated GUI validation
  • Several instrumentation fixes
  • Fixed lingering connection issue
  • Fixed GUI and report viewer crashes related to working directory

Alguns colegas desenvolvedores já começaram a testar esta ferramenta e disseram que ela é bem legal, mas eles não excluíram a necessidade de executar um scan remoto. Eu não acredito que um dia iremos substituir scanns remotos para saber se aquela aplicação/portal/site está seguro ou não.

Atualização: Estou tirando a minha recomendação de utilizar está ferramenta, acabei de saber que ela conseguiu a façanha de dar um boot no meu server com 8 processadores e 32GB de RAM, além de ferrar com um monte de arquivos PHP. O pessoal do DClabs também reportou problemas.

Então o aviso é o seguinte: Não utilizem este cara em ambiente produtivo ou em qualquer coisa que você esteja trabalhando e que valha dinheiro..

Compartilhar:
Tags: , , , ,

Este post tem 3 comentários

  1. Crash

    23 nov 2011

    A ferramenta é bacana, porém dependendo do código analisado e da resposta do servidor ele costuma travar. Como ele faz hooking dos arquivos e escreve nos mesmos, se a aplicação travar no meio do scan ele pode ferrar os php´s. Então, faça backup do seus códigos antes de executar. Pude reparar também que os bugs que ele encontra são bem específicos, caso o código fuja um pouco do padrão mesmo que esteja “bugado” não será encontrado, mas de qualquer forma vale a pena coloca-lo no seu research bug cycle.

  2. Arley Vieira

    24 nov 2011

    Bacana essa ferramenta, alguém conhece uma ferramenta para .asp

  3. CACA-COBRA

    26 nov 2011

    Tentei usar em duas maquinas diferentes, mas o programa travou.
    Vale lembrar novamente que vc deve fazer um BKP da aplicação pelo fato do programa escrever nos arquivos para fazer os testes.

Deixe uma resposta

Newsletter

Facebook Twitter Linkedin-in Youtube
Menu

2019 © Todos os direitos reservados.

Fechar Menu