Versionscan:一款專爲白帽子設計的PHP漏洞掃描報告工具
Versionscan
Versionscan是一款可以幫助安全研究人員評估PHP項目安全性的漏洞掃描及安全報告工具,它可以檢測已知的CVE漏洞,並報告目標站點的潛在安全問題。
目前該工具仍在適配不同的Linux發行版。
工具安裝
使用Composer
{ "require": { "psecio/versionscan":"dev-master" } }
該工具當前的依賴組件只有Symfony控制檯。
工具使用
如果你需要直接對當前項目的PHP版本進行安全檢查,可以直接運行下列命令:
bin/versionscan
腳本將會檢測當前實例的PHP_VERSION信息,並自動生成掃描結果(是否通過安全檢測)。輸出的掃描結果格式大致如下:
工具生成的掃描結果會以彩色的形式對“通過”和“未通過”進行高亮標註。
PHP版本檢測
如果你想要給工具指定掃描的PHP版本號,你可以使用php-version參數:
bin/versionscanscan --php-version=4.3.2
僅報告“未通過”項目
當然了,你也可以命令versionscan只報告未通過安全檢測的項目實例:
bin/versionscanscan --fail-only
掃描結果排序
你還可以使用sort參數來對掃描結果進行排序,排序基於漏洞CVE ID的威脅評級:
bin/versionscanscan --sort=risk
輸出格式
Versionscan的默認會直接將掃描結果以人類可讀的形式輸出至控制檯,不過我們還可以定義其他的輸出格式來幫助我們更好地使用這些掃描結果,比如說JSON格式。我們可以使用–format參數來修改輸出格式:
vendor/bin/versionscanscan --php-version=5.5 --format=json
目前,該工具支持的輸出格式有console、json、xml和html。
HTML輸出格式需要使用–output參數來指定文件輸出路徑:
vendor/bin/versionscanscan --php-version=5.5 --format=html --output=/var/www/output
工具會將輸出結果寫入至一個文件名類似“versionscan-output-20150808.html”的文件中。
項目地址
Versionscan:【 GitHub傳送門 】
* 參考來源: psecio ,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM