PHP应用安全静态代码分析工具 – WAP 2.0

PHP应用安全静态代码分析工具 – WAP 2.0

WAP 2.0是一个静态源代码安全分析和数据挖掘工具,可以发现PHP Web应用程序中的安全漏洞,同时具有较低的误报率。

WAP可以发现以下漏洞

SQL注入漏洞 (SQLI)  跨站脚本漏洞 (XSS)  远程文件包含漏洞 (RFI)  本地文件包含漏洞 (LFI)  目录遍历漏洞 (DT/PT)  源代码泄漏漏洞 (SCD)  系统命令执行漏洞 (OSCI)  PHP代码注入漏洞

WAP可以基于语义分析应用的源代码,并对数据流进行分析,比如它会追踪$_GET, $_POST等入口点,并且追踪确认是否最终有敏感的方法可被执行。在探测结束后,这个工具还会通过数据挖掘确认漏洞是否真的存在或误报。

WAP使用Java编写,支持PHP 4.0及以上版本的Web应用。

PHP应用安全静态代码分析工具 – WAP 2.0

下载地址

[本文由Fu4k投稿FreeBuf,转载请注明来自FreeBuf.COM]