VersionscanVersionscan是一款可以帮助安全研究人员评估PHP专案安全性的漏洞扫描及安全报告工具,它可以检测已知的CVE漏洞,并报告目标站点的潜在安全问题。
目前该工具仍在适配不同的Linux发行版。
工具安装使用Composer{ require: { psecio/versionscan:dev-master }}该工具当前的依赖元件只有Symfony控制台。
工具使用如果你需要直接对当前专案的PHP版本进行安全检查,可以直接执行下列命令:
bin/versionscan指令码将会检测当前例项的PHP_VERSION资讯,并自动生成扫描结果(是否通过安全检测)。输出的扫描结果格式大致如下:
工具生成的扫描结果会以彩色的形式对“通过”和“未通过”进行高亮标注。
PHP版本检测如果你想要给工具指定扫描的PHP版本号,你可以使用php-version引数:
bin/versionscanscan --php-version=4.3.2仅报告“未通过”专案当然了,你也可以命令versionscan只报告未通过安全检测的专案例项:
bin/versionscanscan --fail-only扫描结果排序你还可以使用sort引数来对扫描结果进行排序,排序基于漏洞CVE ID的威胁评级:
bin/versionscanscan --sort=risk输出格式Versionscan的预设会直接将扫描结果以人类可读的形式输出至控制台,不过我们还可以定义其他的输出格式来帮助我们更好地使用这些扫描结果,比如说JSON格式。我们可以使用—format引数来修改输出格式:
vendor/bin/versionscanscan --php-version=5.5 --format=json目前,该工具支援的输出格式有console、json、xml和html。
HTML输出格式需要使用—output引数来指定档案输出路径:
vendor/bin/versionscanscan --php-version=5.5 --format=html --output=/var/www/output工具会将输出结果写入至一个档名类似“versionscan-output-20150808.html”的档案中。
专案地址Versionscan:https://github.com/psecio/versionscan
* 参考来源:psecio,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM
