Bonjour,
Et vous, quels outils d'audit utilisez vous pour analyser le code source de vos applications ?
Voici les miens, avec quelques commentaires :
Graudit
http://www.justanotherhacker.com/projects/graudit.html
Scanne un fichier à la fois
Donne toute les failles potentielles. Par exemple une alerte est levée pour require($variable); même si $variable est filtrée.
Script shell linux.
phpSecAudit
http://developer.spikesource.com/projects/phpsecaudit
Scanne un dossier mais a priori pas les sous-dossiers.
Donne plutôt de bons résultats (pas trop bruyant, informations pertinentes).
Il s'agit d'un script php s'exécutant en ligne de commande
Yasca
http://www.scovetta.com/yasca.html
Ecrit en java, fonctionne sous Windows et Linux (enfin dès que JRE est installé).
RATS
https://www.fortify.com/ssa-elements...ence/rats.html
SWAAT
http://www.owasp.org/index.php/Categ..._SWAAT_Project
Pixy
http://pixybox.seclab.tuwien.ac.at/
N'hésitez pas à donner les votres et vos avis. J'essaierai de résumer tout cela.
Partager