Web Application Protection(WAP)是用于源代码静态剖析和数据发掘的一个东西,WAP首要检测运用PHP(4.0版别及以上)编写的web应用程序,而且由于它的误报率很低而遭到广泛好评。
WAP可被用来检测并纠正以下缝隙:
SQL注入缝隙
跨站脚本进犯缝隙
长途文件包括缝隙
本地文件包括缝隙
目录及途径遍历缝隙
源代码走漏缝隙
操作系统注入缝隙
PHP代码注入缝隙
该东西可在语义上剖析源代码,更切当地说,它运用数据流剖析来检测缝隙是否存在,感染剖析的意图是监督数据流进口避免歹意代码输入($_GET, $_POST数列等),而且承认它们是否接触到一些灵敏接纳器——一些PHP函数可被歹意输入所运用。检测之后,WAP东西运用数据发掘技能来承认检测到的缝隙是实在存在的仍是误报,最终,被承认的缝隙将会被补丁修补。
WAP是用java言语编写的,它有三个模块组成:
代码剖析仪
该代码剖析仪由树建模和感染剖析仪组成,这个东西整合了ANTLR供给的开源词法剖析器以及语法解析器,它首要运用的是PHP的语法以及PHP的树建模语法。这个树建模发生器运用词法剖析器和语法解析仪在每个PHP文件中中构建AST(笼统语法树),这个感染剖析仪经过构建的AST来检测或许存在的缝隙。
误报猜测仪
误报猜测仪是由会集归类的一向处于监督状况的缝隙数据以及误报信息和逻辑回归分类机器(Logistic Regression machine)算法组成,关于检测到的每个有或许的缝隙,此模块担任搜集假阳性缝隙的存在数据,之后逻辑回归分类机器(Logistic Regression machine)将接纳这些数据并就有无存在误报给它们分类。
代码校对仪
代码校对仪的作用是挑选承认的缝隙类型而且修补缝隙。在代码校对仪承认了缝隙类型之后,被承认的缝隙将会在源代码中被删去或许刺进补丁文件修正。
顺手附上下载地址—>点我!
介绍 近些年来,Web安全现已逐步变成了IT安全范畴里十分重要的一个部分。Web运用的优势就在于开发人员能够在较短的时间内集成各种要害服务,并且保护难度也比传统的桌面端运用程序要低许多。除了规划新的...
前语 上一章介绍了Tunneling Proxy技能以及怎样运用这项技能来绕过httponly完成高档的会话盗取。本章评论如安在不违背SOP情况下,经过勾连浏览器进犯Web运用与进犯网络。其中有一些进...
JSON Hijacking缝隙的具体使用,有点相似与CSRF,不过原理使用方法不同,在这边文章我侧重解说json跨域绑架的使用环境建立与方法。 0×01缝隙的发掘 一般发掘的过程中,burpsuit...
与谷歌经过网址来搜索互联网的方法不同,Shodan经过互联网背面的通道来搜索信息。它就象是一种“漆黑”的谷歌,不断在寻觅服务器、网络摄像头、打印机、路由器和其他与互联网衔接及构成互联网的全部东西。 S...
CSRF(Cross-site request forgery跨站恳求假造,也被称成为“one click attack”或许session riding,一般缩写为CSRF或许XSRF,是一种对网...
为了更好去发掘php缝隙,关于盛行的结构,咱们也要了解一下,这样才干发掘到高位缝隙。关于结构学习,不同公司有不同结构,所以关于结构,也因人而应,别的看公司需求,假如你的公司大部分选用某一种结构,你来...