PHP kaynak kod analiz edici ( Source Code Auditor )

Yns · 04/12/2006, 23:54

(Gecenlerde istek uzerine hazir bir yazilimi kisa zamanda incelemem gerekiyordu.Zamanin kisitli oldugu icin isimi kolaylastirabilecek bir betik yazdim. include, mysql_query,header,eval gibi tehlikeli olabilecek fonksiyonlari bulan ve warning olarak satiri, sayfayi, degisken ismini warning olarak aldiktan sonra incelemesi oldukca kolay oldu.)

O dakikadan sonra guvenlik acisindan kaynak kod analizi yapacak bir yazilim hazirlamak geldi aklima.Ki onumuzdeki gunlerde de yapmayi planliyorum.

Calisma mantigi su sekilde olacak:

Yazilim, analiz edecegi dizindeki tum php dosyalarini tarayacak.
Yukarida bahsettigim tehlikeli olabilecek fonksiyonlari kontrol edecek.Ornegin, header(Location: $_GET["url"]); gibi bir kod varsa basacak warningi.(HTTP response splitting)
$_GET[url] daha onceden bir filtrelemeden gecirilmis mi gecirilmemis mi diye bakacak.(belli filtreleme fonksiyonlarina karsi)
Olasi aciklar son asamada ekrana basilacak, analyze report seklinde tablolanmis bir .html ciktisi verilecek

Proje kapsaminda SQL Injection, HTTP response splitting, Local(Remote) File Include gibi saldirilar rahatlikla tespit edilebilir.

PHP ( konsol tabanli ) veya Python ile yazmayi planliyorum.

Sizin eklemek istedikleriniz, merak ettiginiz noktalar var mi?

turker · 05/12/2006, 01:23

addslashes,htmlspecialchars vs. de kontrol edilse güzel olur.

myavuzselim · 05/12/2006, 02:11

Kodu nasil incelemeyi dusunuyorsun? Bir parser kullanmak daha uygun olabilir. Biraz aradiktan sonra soyle birsey buldum, isine yarayabilir: http://pear.php.net/package/PHP_Parser

Yns · 05/12/2006, 15:26

Aslinda basit bir parseri kendim yazmayi planliyordum, fakat verdigin pear paketi isleri oldukca kolaylastirabilir.

Tesekkurler..

Casus · 06/12/2006, 23:59

Yns, güzel calisma olacagi kesin. mera ettigim bi konu var ama. bu yazilimi paylasacakmisin? yoksa nasil site üzerindenmi calisak nasil olacak yani?
beni aydinlatirsan sevinirm. simdiden ellerine saglik. kolay gelsin

oCRaCy · 07/12/2006, 00:57

Yns closesource yazmaz

Yns · 07/12/2006, 18:16

Casus, konsoldan calisan bir uygulama olacak.Dolayisiyla acik kaynak kodlu..

Web ustunden calismayacak, kim hangi kodu taramak istiyorsa kendi bilgisayarinda kontrol edecek..

ocracy, gün gelir yazar belki :P

yesilvadi · 07/12/2006, 22:05

register_global sorununu kendiliğinden halletse, yani eski kullanımı yeni, $_post gibi bir şekle dönüştürse çok güzel olur.

sayfaları optimize etse
tek tıkla bir phpBB forum kursa falan şahane olur tadından yenmez :P

oCRaCy · 07/12/2006, 23:24

hangi değişkenlerde $-post, $_get kullanılacağını nasıl anlıcak

turker · 07/12/2006, 23:28

abartmayalım, yavaş...

04/12/2006, 23:54	#1 (permalink)
Yns İptal Durumu Üyelik Tarihi: 10/2004 Mesaj: 2,842	PHP kaynak kod analiz edici ( Source Code Auditor ) (Gecenlerde istek uzerine hazir bir yazilimi kisa zamanda incelemem gerekiyordu.Zamanin kisitli oldugu icin isimi kolaylastirabilecek bir betik yazdim. include, mysql_query,header,eval gibi tehlikeli olabilecek fonksiyonlari bulan ve warning olarak satiri, sayfayi, degisken ismini warning olarak aldiktan sonra incelemesi oldukca kolay oldu.) O dakikadan sonra guvenlik acisindan kaynak kod analizi yapacak bir yazilim hazirlamak geldi aklima.Ki onumuzdeki gunlerde de yapmayi planliyorum. Calisma mantigi su sekilde olacak: Yazilim, analiz edecegi dizindeki tum php dosyalarini tarayacak. Yukarida bahsettigim tehlikeli olabilecek fonksiyonlari kontrol edecek.Ornegin, header(Location: $_GET["url"]); gibi bir kod varsa basacak warningi.(HTTP response splitting) $_GET[url] daha onceden bir filtrelemeden gecirilmis mi gecirilmemis mi diye bakacak.(belli filtreleme fonksiyonlarina karsi) Olasi aciklar son asamada ekrana basilacak, analyze report seklinde tablolanmis bir .html ciktisi verilecek Proje kapsaminda SQL Injection, HTTP response splitting, Local(Remote) File Include gibi saldirilar rahatlikla tespit edilebilir. PHP ( konsol tabanli ) veya Python ile yazmayi planliyorum. Sizin eklemek istedikleriniz, merak ettiginiz noktalar var mi?

06/12/2006, 23:59	#5 (permalink)
Casus Ateş düştüğü yeri yakar! Üyelik Tarihi: 10/2005 Mesaj: 345	Yns, güzel calisma olacagi kesin. mera ettigim bi konu var ama. bu yazilimi paylasacakmisin? yoksa nasil site üzerindenmi calisak nasil olacak yani? beni aydinlatirsan sevinirm. simdiden ellerine saglik. kolay gelsin __________________ sivas/şarkışla süper kanal 105.4 bekleriz.... Tanıdıklarını Sanal alemde bulmanın yolu. Kayıt ol, hasret gider...

07/12/2006, 00:57	#6 (permalink)
oCRaCy ... Üyelik Tarihi: 04/2006 Yer: İstanbul Mesaj: 756	Yns closesource yazmaz __________________ To follow the path Look to the master Follow the master Walk with the master See through the master Become the master

07/12/2006, 23:24	#9 (permalink)
oCRaCy ... Üyelik Tarihi: 04/2006 Yer: İstanbul Mesaj: 756	hangi değişkenlerde $-post, $_get kullanılacağını nasıl anlıcak __________________ To follow the path Look to the master Follow the master Walk with the master See through the master Become the master

Benzer Konular
Konu	Konuyu açana göre	Forum	Cevap	En Son Mesaj
C DE ÇOKLU SOURCE CODE--> NASIL ??	Akın Öcal	C / C++	9	26/04/2005 18:50
! Web Analiz !	Masterphp	PHP	3	20/07/2003 12:29
Duke Nukem 3d Source Code Released	p4r4h4t	Oyunlar	0	22/04/2003 10:34
ceviz.net source code	turker	Internet	12	31/03/2003 17:10
Open Source (Açık Kaynak Kodu) Tanımı	RaiST	GNU / Linux / UNIX / BSD / Pardus	0	02/12/2002 16:51

05/12/2006, 01:23	#2 (permalink)
turker Agresif Üye Üyelik Tarihi: 07/2002 Mesaj: 6,290	addslashes,htmlspecialchars vs. de kontrol edilse güzel olur.

05/12/2006, 02:11	#3 (permalink)
myavuzselim Eski Cevizci Üyelik Tarihi: 05/2004 Mesaj: 775	Kodu nasil incelemeyi dusunuyorsun? Bir parser kullanmak daha uygun olabilir. Biraz aradiktan sonra soyle birsey buldum, isine yarayabilir: http://pear.php.net/package/PHP_Parser

05/12/2006, 15:26	#4 (permalink)
Yns İptal Durumu Üyelik Tarihi: 10/2004 Mesaj: 2,842	Aslinda basit bir parseri kendim yazmayi planliyordum, fakat verdigin pear paketi isleri oldukca kolaylastirabilir. Tesekkurler..

07/12/2006, 18:16	#7 (permalink)
Yns İptal Durumu Üyelik Tarihi: 10/2004 Mesaj: 2,842	Casus, konsoldan calisan bir uygulama olacak.Dolayisiyla acik kaynak kodlu.. Web ustunden calismayacak, kim hangi kodu taramak istiyorsa kendi bilgisayarinda kontrol edecek.. ocracy, gün gelir yazar belki :P

07/12/2006, 22:05	#8 (permalink)
yesilvadi İptal Durumu Üyelik Tarihi: 01/2006 Mesaj: 392	register_global sorununu kendiliğinden halletse, yani eski kullanımı yeni, $_post gibi bir şekle dönüştürse çok güzel olur. sayfaları optimize etse tek tıkla bir phpBB forum kursa falan şahane olur tadından yenmez :P

07/12/2006, 23:28	#10 (permalink)
turker Agresif Üye Üyelik Tarihi: 07/2002 Mesaj: 6,290	abartmayalım, yavaş...

Seçenekler
Yazdırmaya Uygun Sayfa Sayfayı E-posta İle Gönder