Pixy – PHP 原始码的弱点分析工具
来源:资安之眼
XSS 及 SQL injection 已成为当前网页应用程式的主要问题,本站也介绍过一些免费的小工具,像是网页程式执行后的 Wapiti 渗透工具,执行中的 PHPIDS 入侵侦测工具,而这次的工具则是执行前的 Pixy原始码检测工具。
Pixy是一套以 Java 开发 PHP 原始码扫描工具,主要用以自动发掘 XSS 及 SQL injection 问题,只要作业系统已安装了Java SE6,解压缩后即可执行,在 run-all.pl (如果你的环境有安装 Perl) 或是 run-all.bat (仅供Windows) 后面接上你的 PHP路径档名即可进行分析,而结果将以文字报告形式在画面上输出,提供摘要及可能的弱点列表,针对弱点部份,由于作者期望能让使用者瞭解问题发生的前后因果关系,因此採用了 dotty 格式的图形描述语言输出。
以下面的 php 程式为例,$y 的问题是衍生于 $x 取得未适当过滤的输入值:
<?php
$x = $_GET['x'];
$y = 'hello ' . $x;
echo $y;
?>
这样的弱点关系图会在分析后产生于 graphs 目录中,并提供精简的 min 及详尽的 dep 版本,可下载 Graphviz,并利用其中的 dot 工具将 .dot 档案转换(do layout)为其他格式的图档。
在分析的过程中,程式会自动载入 include、require 的 php 档案一併分析,如果你原本的程式是利用网站的路径,可能就要视状况修改为相对路径或硬碟路径。而在分析所得报表中,xss 漏洞会以类似下列方式罗列:引用
Vulnerability detected!
– conditional on register_globals=on (此弱点仅存在于 register_globals 开启时)
– xxx.php:15 (弱点存在档名及行号)
– Graph: xss1 (关系图产生于 graphs\xss_xxx.php_1_dep.dot)
另外分析过程中,pixy 会将 PHP 内建函数之输出认定为可能存在弱点,若因此在分析时产生过多的警告,可自行修改 config\model_xss.txt,定义内建函数之风险,设为 0 即认定该函数没有问题。
如果还是觉得麻烦,作者也提供了网页模式,可直接贴上或上传你的原始码,并立即取得弱点分析及关系图,但这种方式仅提供 XSS 分析,而不包含 SQL injection 的部份,此外当然也无法处理程式中的 include 档案。
下载地址:http://pixybox.seclab.tuwien.ac.at/pixy/index.php