工具介绍
phpvulhunter是一款PHP源码自动化审计工具,通过这个工具,可以对一些开源CMS进行自动化的代码审计,并生成漏洞报告。
工具下载安装
首先从github上进行获取:
git clone https://github.com/OneSourceCat/phpvulhunter
使用 搭建好环境,访问main.php后
有几个参数需要填写:
Project Path:需要扫描的工程绝对路径(文件夹)
File Path:需要扫描的文件绝对路径(文件或者文件夹)
Vuln Turp:扫描的漏洞类型,默认为ALL
Encoding:CMS的编码类型
如果需要扫描整个工程,则Project Path与File Path填写一致即可。对于大的工程,由于代码量较多且内部引用复杂,所以可能会占用较多的CPU资源、花费较长的时间才能扫描完成。
配置好参数之后,点击scan按钮即可进行扫描
File Path:出现漏洞的文件绝对路径
Vlun Type:漏洞的类型
Sink Call:危险函数调用的位置
Sensitive Arg:最后跟踪到的危险参数
查看代码时,点击Code Viewer即可
文章来源:
https://github.com/OneSourceCat/phpvulhunter
你可能喜欢