RIPS, análisis estático de PHP


PHP es el lenguaje de programación más popular en la web pero también tienen una gran cantidad de riesgos de seguridad cuando los datos suministrados por el usuario no se manejan cuidado. Estas vulnerabilidades pueden dar lugar a fugas de datos o incluso el compromiso del servidor.





Durante el 2010 el 27.2% de todas las vulnerabilidades encontradas en las aplicaciones web estaban relacionados con PHP. Teniendo en cuenta el hecho de que las aplicaciones de gran tamaño puede tener miles de líneas de código y el tiempo para una revisión manual es limitado, algunas herramientas pueden ayudar a los desarrolladores y testers, disminuyendo el tiempo y los costos mediante la automatización de la revisión de código fuente.

RIPS (antes PHP Scanner) es una herramienta que permite realizar esta automatización del proceso de identificación de potenciales funciones vulnerables (PVF) en el código fuente de aplicaciones PHP, mediante su análisis estático.

Enlaces:
PHP-related vulnerabilities on the National Vulnerability Database
http://www.coelho.net/php_cve.html

Herramienta RIPS
http://rips-scanner.sourceforge.net/

Leído en:
http://blog.segu-info.com.ar/



Otras noticias de interés:

Acceso a información sensible por importación de CSS por el Microsoft Internet Explorer (IE)
Usando el Google Desktop empleando el Internet Explorer y manipulando el contenido de un CSS se puede accesar a los datos personales de un usuario como por ejemplo: tarjetas y contraseñas de crédito. Cabe destacas que ya google actualizó y reparó...
Microsoft confirma vulnerabilidad en IE 8
Microsoft ha confirmado la existencia de una nueva vulnerabilidad de Internet Explorer 8. El fallo CVE-2013-1347 expone los ordenadores de los usuarios para la ejecución remota de código y todavía no se ha encontrado solución....
Apple explica por qué actualizar Safari
Apple anunció la disponibilidad de una actualización de la beta pública de Safari, su navegador web, recomendando únicamente su actualización aunque sin especificar cuáles eran los problemas detectados. ...
Crece a un 71% los bots, según Commtouch
Parece ser que a pesar de las recomendaciones repetitivas que se le hacen a los usuarios, ellos siguen siendo engañados por mensajes de correo electrónico que los insta a hacer clic en enlaces y archivos adjuntos sospechosos....
Windows Phone es vulnerable a ataques por SMS
Los dispositivos móviles que utilizan Windows Phone han experimentado problemas por un ataque de denegación de servicio a través de SMS, que ha tenido como consecuencia errores en la funcionalidad de mensajería. ...
AutoRun.VB.ASA: de un gusano a varias amenazas
VITESSE Networks,ha anunciado un código malicioso que fue identificado por el laboratorio de Eset como Win32/AutoRun.VB.ASA gusano. Como el nombre de la detección lo indica, esta amenaza se propaga principalmente a través de dispositivos de almace...
Python 2.5 lanzado
20 meses después de su último release, el lenguaje Python llegó a su versión 2.5, quizás su actualización más importante desde la v2.2 del 2001....
Boletín de Seguridad MS04-004
Actualización de seguridad acumulativa para Internet Explorer (832894) Expuesto originalmente: 2 de Febrero de 2004 Versión: 1.0 Resumen Quién debería leer este boletín: Los clientes que utilicen Internet Explorer ® ...
ALERTA!!! - Activación y versiones del gusano Klez
Hoy viernes dispara su payload dañino una de las versiones de Klez, que tiene como fecha de activación cualquier día 6 correspondiente a un mes impar. Sin embargo no se esperan incidentes masivos, ya que dicha versión representa un índice muy ba...
Nuevo malware afecta a Facebook
Es increíble que a estas alturas algunos usuarios no piensen antes de hacer click a alguna aplicación y/o enlace en la red social Facebook. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • analisis
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • estatico
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • rips
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra