鬼仔's Blog

来源：资安之眼

XSS 及 SQL injection 已成为当前网页应用程式的主要问题，本站也介绍过一些免费的小工具，像是网页程式执行后的 Wapiti 渗透工具，执行中的 PHPIDS 入侵侦测工具，而这次的工具则是执行前的 Pixy原始码检测工具。

Pixy是一套以 Java 开发 PHP 原始码扫描工具，主要用以自动发掘 XSS 及 SQL injection 问题，只要作业系统已安装了Java SE6，解压缩后即可执行，在 run-all.pl (如果你的环境有安装 Perl) 或是 run-all.bat (仅供Windows) 后面接上你的 PHP路径档名即可进行分析，而结果将以文字报告形式在画面上输出，提供摘要及可能的弱点列表，针对弱点部份，由于作者期望能让使用者瞭解问题发生的前后因果关系，因此採用了 dotty 格式的图形描述语言输出。

以下面的 php 程式为例，$y 的问题是衍生于 $x 取得未适当过滤的输入值:
<?php
$x = $_GET['x'];
$y = 'hello ' . $x;
echo $y;
?>

这样的弱点关系图会在分析后产生于 graphs 目录中，并提供精简的 min 及详尽的 dep 版本，可下载 Graphviz，并利用其中的 dot 工具将 .dot 档案转换(do layout)为其他格式的图档。

在分析的过程中，程式会自动载入 include、require 的 php 档案一併分析，如果你原本的程式是利用网站的路径，可能就要视状况修改为相对路径或硬碟路径。而在分析所得报表中，xss 漏洞会以类似下列方式罗列:引用
Vulnerability detected!
– conditional on register_globals=on (此弱点仅存在于 register_globals 开启时)
– xxx.php:15 (弱点存在档名及行号)
– Graph: xss1 (关系图产生于 graphs\xss_xxx.php_1_dep.dot)

另外分析过程中，pixy 会将 PHP 内建函数之输出认定为可能存在弱点，若因此在分析时产生过多的警告，可自行修改 config\model_xss.txt，定义内建函数之风险，设为 0 即认定该函数没有问题。

如果还是觉得麻烦，作者也提供了网页模式，可直接贴上或上传你的原始码，并立即取得弱点分析及关系图，但这种方式仅提供 XSS 分析，而不包含 SQL injection 的部份，此外当然也无法处理程式中的 include 档案。

下载地址:http://pixybox.seclab.tuwien.ac.at/pixy/index.php