Discussion :

[max-mag]

Bonjour,

Et vous, quels outils d'audit utilisez vous pour analyser le code source de vos applications ?

Voici les miens, avec quelques commentaires :

Graudit
http://www.justanotherhacker.com/projects/graudit.html
Scanne un fichier à la fois
Donne toute les failles potentielles. Par exemple une alerte est levée pour require($variable); même si $variable est filtrée.
Script shell linux.

phpSecAudit
http://developer.spikesource.com/projects/phpsecaudit
Scanne un dossier mais a priori pas les sous-dossiers.
Donne plutôt de bons résultats (pas trop bruyant, informations pertinentes).
Il s'agit d'un script php s'exécutant en ligne de commande

Yasca
http://www.scovetta.com/yasca.html
Ecrit en java, fonctionne sous Windows et Linux (enfin dès que JRE est installé).

RATS
https://www.fortify.com/ssa-elements...ence/rats.html

SWAAT
http://www.owasp.org/index.php/Categ..._SWAAT_Project

Pixy
http://pixybox.seclab.tuwien.ac.at/

N'hésitez pas à donner les votres et vos avis. J'essaierai de résumer tout cela.

[Phelim]

J'avais déjà envisagé l'emploi de ce genre d'outils mais je n'ai jamais sauté le pas. Je travaille avec PHP que sur des projets personnels et la sécurité n'est pas un point que j'ai fixé comme critique.

J'utilise une suite de bonne pratiques tels que :

• Utiliser exclusivement des requêtes préparés
• Filtrer les entrées
• Utiliser des tokens de durée pour les formulaires
• Pas de require basé sur des variables
• ...

Toutefois, si je venais à travailler sur une application où je ne serai pas responsable de l'ensemble de la ligne d'activité (hébergement, développement, activité), je pense que je me tournerai vers RATS qui semble avoir une très bonne réputation.

Fabien