phpStudy是一个PHP调试环境的程序组合包。这个程序包集合最新的Apache+PHP+MySQL,下载安装一次合成,解压就可使用,方便快捷、的PHP调试环境。该程序不但包含PHP调试的环境,还包括了自带的开发工具、开发手册等。
RIPS的使用也是需要PHPStudy的支持的。
下载phpstudy从Php中文官网下载属于phpstudy安装包,地址:http://www.php.cn/xiazai/gongju/845
解压phpstudy安装包对安装包进行解压,在解压后进入它的目录,解压结果如下图所示。
点击程序的启动文件(xp.cn_cgi.exe),程序正常启动如图所示。
在点击程序启动文件后,程序可以成功启动,启动后的图如下所示。
Pikachu靶场安装 靶场文件下载首先从靶场的网站下载靶场的文件。
下载后得到.zip文件,将.zip文件解压到PHPstudy文件根目录中的www文件目录下。
解压.zip文件如下图所示。
靶场文件安装在自己的浏览器网址栏中输入靶场的文件的本地路径名,然后启动tomcat服务,程序可以成功启动。
在程序启动后,需要根据红色提示,完成一开始的设置。
一开始的设置完成后,可以点击“安装/初始化”按钮,之后返回首页。
然后再次返回网站的首页,显示结果如图,可以发现现在安装完成。
RIPS其实是一款用php编写的源代码安全的检测工具,它使用了静态的分析技术,可以自动化的审计PHP代码的安全漏洞,测试员可以容易的检查分析的结果,不用全部参与整个程序代码。由于静态源代码分析的相关的限制,一些漏洞警告是否存在,仍然需要测试员到源代码进一步去确认。
在日常的安全工作中,代码审计是很重要的一项能力。在面对大量的代码后,就需要使用自动化工具辅助人工漏洞挖掘,可以显著提高审计工作的效率。学会利用自动化代码审计工具,是每一个代码审计人员必备的能力。
RIPS其实是用于 PHP 脚本漏洞的静态源代码分析器.
RIPS 是最好用的静态代码分析工具,它可以自动检测 PHP 应用程序中的高危漏洞。在对所有源代码文件进行解读和解析,RIPS 能够将 PHP 源代码转换为程序模型,并检查程序中可能被用户输入文本(受黑客影响)污染的敏感数据接受器(可能存在漏洞的相关函数)。在发现漏洞的结构化输出之外,RIPS 还提供了一个组合的代码审计架构.
RIPS文件下载下载地址:http://rips-scanner.sourceforge.net/
解压后如图所示
RIPS安装将RIPS文件解压到PHPstudy文件的根目录中的www文件夹。
解压后,无需做任何操作便可以使用。
RIPS启动先打开PHPstudy软件,将Apache2.4.39和FTP0.9.60模块启动。
启动后,在浏览器中输入http://localhost/rips,rips可以成功启动。
RIPS扫描的过程和结果启动rips之后,再将自己要扫描的目标文件的绝对路径输入到 path那一栏中。
点击“scan”按钮,RIPS将会自动开始扫描漏洞。
对靶场的本地文件进行扫描
扫描结果如下图所示。
如果对你有帮助的话,不妨点赞支持一下,你的支持是博主继续下去的动力!