###2.3.3 RIPS

简介

RIPS是最流行的静态代码分析工具,可自动检测PHP应用程序中的漏洞。 通过对所有源代码文件进行标记化和解析,RIPS能够将PHP源代码转换为程序模型,并检测在程序流程中可能被用户输入(受恶意用户影响)污染的敏感接收器(可能易受攻击的功能)。 除了发现漏洞的结构化输出外,RIPS还提供了一个集成的代码审计框架。
Rips 是使用PHP语言开发的一个审计工具,所以只要有可以运行PHP的环境就可以轻松实现PHP的代码审计,它现在的最新免费开源版本是0.55版本,如果需要更好的服务,可以打开 官网 查看。这里我们使用的是其开源版本,”https://sourceforge.net/projects/rips-scanner/files/“ 访问下载链接。

工具特点

  1. 能够检测XSS、SQL注入、文件泄露、本地/远程文件包含、远程命令执行以及更多种类型的漏洞。
  2. 有5种级别选项用于显示以及辅助调试扫描结果。
  3. 标记存在漏洞的代码行。
  4. 对变量高亮显示。
  5. 在用户定义函数上悬停光标可以显示函数调用。
  6. 在函数定义和调用之间灵活跳转。
  7. 详细列出所有用户定义函数(包括定义和调用)、所有程序入口点(用户输入)和所有扫描过文件(包括include的文件)。
  8. 以可视化的图表展示源代码文件、包含文件、函数及其调用。
  9. 仅用几个鼠标点击就可以使用CURL创建针对检测到漏洞的EXP实例。
  10. 详细列出每个漏洞的描述、举例、PoC、补丁和安全函数。
  11. 7种不同的语法高亮显示模式。
  12. 使用自顶向下或者自底向上的方式追溯显示扫描结果。
  13. 一个支持PHP的本地服务器和浏览器即可满足使用需求。
  14. 正则搜索功能。

安装方法

下载文件并解压到PHP的执行路径即可。

作者:skad  创建时间:2022-05-19 09:36
最后编辑:skad  更新时间:2023-04-12 16:17