Безопасность сайта зависит от многих факторов, но самый главный это правильно написанный код. Основными уязвимостями являются XSS и SQL Injection. Хороший программист редко допускает такие ошибки. Но если есть большой проект, то где-то можно не доглядеть, людям свойственно ошибаться. И здесь сканер окажет неоценимую услугу. Рекомендую вам проверить сайт на уязвимости.
Данный сканер не служит инструментом для взлома, он не подбирает параметры в адресной строке, пытаясь пробить оболочку. Принцип его действия другой: сканер проверяет непосредственно PHP код и выдает отчет сканирования, указывая, в каком именно месте код уязвим. О том, что такое XSS и SQL Injection написано много, и я не буду заострять на этом внимание, как и на том, как защитится от этих уязвимостей.
На данный момент сканер имеет версию 0.2.0 . В этой версии сканер отслеживает $_GET, $_POST, $_REQUEST, $_COOKIE и $_SERVER параметры. Проверка производится также при присваивании значений другой переменной, или константе (отслеживаются foreach, operator = и difine). В данной версии не отслеживается вхождение параметров в функции (хотя сами функции отслеживаются). Предусмотрены поля для ввода функций, на которые сканеру стоит обратить особое внимание и функций, которые используются для экранирования, или которые возвращают безопасные данные. Если вы не уверены, то оставьте эти поля пустыми. Данные поля нужны для тонкой настройки режима сканирования и не обязательны. Есть также поле для ввода файловых расширений отличных от *.php , например как в drupal (*.inc и *.module). Сканирование подразделяет результаты на три категории: Errors, Warnings и Notice (сделано по аналогии с PHP). Внимание нужно обращать на Errors, именно в ней содержатся строки уязвимого кода(XSS и SQL Injection). Те 95% кода, который бы стоило проверять вручную, просматривая десятки страниц, сканер отфильтровывает. Остается только устранить найденные уязвимости в категории Errors. И проверить то, что не удалось отследить. Речь идет о Warnings и Notice. В них содержаться строки кода, в которых сканер не смог найти уязвимость, но и классифицировать, как безопасные, тоже не смог.
В заключение хочу сказать, что для защиты сайта от взлома подойдут все возможности, особенно если они эффективны и не трудоемки. С XSS Сканером это просто.
Виталий, разработчик.
Мой блог находят по следующим фразам
- зачем участвовать в конкурсах
- перелистывание страниц в презентации
- группы в wordpress
- как настроить rss вопера
- ботовод 3.0.4
- получать rss rfr gjxne