Php Code Audits的方向

最新推荐文章于 2025-08-18 20:10:55 发布
原创 最新推荐文章于 2025-08-18 20:10:55 发布 · 164 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #java #c/c++

本文列举了一系列源代码审计工具,覆盖多种编程语言如C、C++、Java、PHP等,旨在帮助开发者检测代码中的潜在安全风险。这些工具通过静态分析技术识别不安全的函数调用和变量使用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

下面是一个Source Code Auditing tools的一个list
Name - [ language/s supported ] - web link:  .TEST - [ C#, VB.NET, MC++ ] - http://www.parasoft.com/jsp/products.jsp   ASTRéE ...
  下面是一个Source Code Auditing tools的一个list [转于网络]
  Name - [ language/s supported ] - web link:
  .TEST - [ C#, VB.NET, MC++ ] - http://www.parasoft.com/jsp/products.jsp
  ASTRéE - [ C ] - http://www.astree.ens.fr
  Bandera - [ Java ] - http://bandera.projects.cis.ksu.edu/
  BLAST - [ C ] - http://mtc.epfl.ch/software-tools/blast/
  BOON - [ C ] - http://www.cs.berkeley.edu/~daw/boon/
  C Code Analyzer (CCA) - [ C ] - http://www.drugphish.ch/~jonny/cca.html
  C++test - [ C++ ] - http://www.parasoft.com/jsp/products.jsp
  CCMetrics - [ C#, VB.NET ] - http://www.serviceframework.com/jwss/utility ,ccmetrics,utility.aspx
  Checkstyle - [ Java ] - http://checkstyle.sourceforge.net/
  CodeCenter - [ C ] - http://www.ics.com/products/centerline/codecenter/features.html
  CodeScan - [ .ASP, PHP ] - http://www.codescan.com/
  CodeSecure - [ PHP, Java ] - http://www.armorize.com/corpweb/en/products/codesecure
  CodeSonar - [ C, C++ ] - http://www.grammatech.com/products/codesonar/overview.html
  CQual - [ C ] - http://www.cs.umd.edu/~jfoster/cqual
  Csur - [ C ] - http://www.lsv.ens-cachan.fr/csur/
  Dehydra - [ C++ ] - http://wiki.mozilla.org/Dehydra_GCC
  DevInspect - [ C#, Visual Basic, JavaScript, VB Script] - http://www.spidynamics.com/products/devinspect/
  DevPartner SecurityChecker - [ C#, Visual Basic ] - http://www.compuware.com/products/devpartner/securitychecker.htm
  DoubleCheck - [ C, C++ ] - http://www.ghs.com/products/doublecheck.html
  FindBugs - [ Java ] - http://findbugs.sourceforge.net/
  FlawFinder - [ C, C++ ] - http://www.dwheeler.com/flawfinder/
  Fluid - [ Java ] - http://www.fluid.cs.cmu.edu/
  Frama-C - [ C ] - http://frama-c.cea.fr/
  ftnchek - [ FORTRAN ] - http://www.dsm.fordham.edu/~ftnchek/
  FxCop - [ .NET ] - http://code.msdn.microsoft.com/codeanalysis
  g95-xml - [ FORTRAN ] - http://g95-xml.sourceforge.net/
  ITS4 - [ C, C++ ] - http://www.cigital.com/its4/
  Jlint - [ Java ] - http://artho.com/jlint/
  JsLint - [ JavaScript ] - http://www.jslint.com/
  Jtest - [ Java ] - http://www.parasoft.com/jsp/products.jsp
  KlocWork / K7 - [ C, C++, Java ] - http://www.klocwork.com/products/k7_security.asp
  LAPSE - [ Java ] - http://www.owasp.org/index.php/Category:OWASP_LAPSE_Project
  MOPS - [ C ] - http://www.cs.berkeley.edu/~daw/mops/
  MSSCASI - [ ASP ] - http://www.microsoft.com/downloa ... &displaylang=en
  MZTools - [ VB6, VBA ] - http://www.mztools.com/index.aspx/
  Oink - [ C++ ] - http://www.cubewano.org/oink
  Ounce - [ C, C++, Java, JSP, ASP.NET, VB.NET, C# ] - http://www.ouncelabs.com/accurate-complete-results.html
  Perl-Critic - [ Perl ] - http://search.cpan.org/dist/Perl-Critic/
  PLSQLScanner 2008 - [ PLSQL ] - http://www.red-database-security.com/software/plsqlscanner.html
  PHP-Sat - [ PHP ] - http://www.program-transformation.org/PHP/PhpSat
  Pixy - [ PHP ] - http://pixybox.seclab.tuwien.ac.at/pixy/index.php
  PMD - [ Java ] - http://pmd.sourceforge.net/
  PolySpace - [ Ada, C, C++ ] - http://www.polyspace.com/products.htm
  PREfix & PREfast - [ C, C++ ] - http://support.microsoft.com/vst
  Prevent - [ C, C++ ] - http://www.coverity.com/html/cov ... ality-products.html
  PyChecker - [ Python ] - http://pychecker.sourceforge.net/
  pylint - [ Python ] - http://www.logilab.org/project/pylint
  QA-C, QA-C++, QA-J - [ C, C++, Java, FORTRAN ] - http://www.programmingresearch.com/PRODUCTS.html
  QualityChecker - [ Visual Basic 6 ] - http://d.cr.free.fr/
  RATS - [ C, C++, Perl, PHP, Python ] - http://www.fortify.com/security-resources/rats.jsp
  RSM - [ C, C++, C#, Java ] - http://msquaredtechnologies.com/m2rsm/
  Smatch - [ C ] - http://smatch.sourceforge.net/
  SCA - [ ASP.NET, C, C++, C#, Java, JSP, PL/SQL, T-SQL, VB.NET, XML ] - http://www.fortifysoftware.com/products/sca/
  Skavenger - [ PHP ] - http://code.google.com/p/skavenger/
  smarty-lint - [ PHP ] - http://code.google.com/p/smarty-lint/
  soot - [ Java ] - http://www.sable.mcgill.ca/soot/
  Source Monitor - [ C#, VB.NET ] - http://www.campwoodsw.com/sm20.html
  SPARK - [ Ada ] - http://www.praxis-his.com/sparkada/spark.asp
  Spike PHP Security Audit Tool - [ PHP ] - http://developer.spikesource.com/projects/phpsecaudit/
  Splint - [ C ] - http://www.splint.org/
  SWAAT - [ PHP, ASP.NET, JSP, Java ] - http://www.owasp.org/index.php/Category:OWASP_SWAAT_Project
  UNO - [ C ] - http://spinroot.com/uno/ ">
  vil - [ C#, VB.NET ] - http://www.1bot.com/
  Viva64 - [ C++ ] - http://www.viva64.com/
  xg++ - [ C ] - http://www.stanford.edu/~engler/mc-osdi.pdf
  YTKScan Java - [ Java ] - http://www.cam.org/~droujav/y2k/Y2KScan.html
  支持php的有:
  CodeScan - [ .ASP, PHP ] - http://www.codescan.com/
  CodeSecure - [ PHP, Java ] - http://www.armorize.com/corpweb/en/products/codesecure
  PHP-Sat - [ PHP ] - http://www.program-transformation.org/PHP/PhpSat
  Pixy - [ PHP ] - http://pixybox.seclab.tuwien.ac.at/pixy/index.php
  RATS - [ C, C++, Perl, PHP, Python ] - http://www.fortify.com/security-resources/rats.jsp
  Skavenger - [ PHP ] - http://code.google.com/p/skavenger/
  smarty-lint - [ PHP ] - http://code.google.com/p/smarty-lint/
  Spike PHP Security Audit Tool - [ PHP ] - http://developer.spikesource.com/projects/phpsecaudit/
  SWAAT - [ PHP, ASP.NET, JSP, Java ] - http://www.owasp.org/index.php/Category:OWASP_SWAAT_Project
  另外还有一个Fortify - http://www.fortifysoftware.com [如果还有,请帮忙补充]
  目前就php的Source Code Auditing tool基本都是静态分析的,而Source Code Auditing一直围绕着2个元素:变量和函数.也就是说这些tools不管是php开发的还是java开发的,也不管是不是基于php原代码的,他本身都对一些危险的函数和变量都对应的一个'字典'[特征字符串],这些tools都是通过查找这些字典,然后跟踪变量来分析代码.
  但是随着程序员安全意识的提高,很多的程序员也知道了这些'字典'了,都有对应的过滤,所以那些传统的问题,很找在大型程序里出现了.所以只有通过扩大我们的字典才有更多的机会去找到应用程序的漏洞.我们的途径有:
  * 分析和学习别人发现的漏洞或者exp,如大牛Stefan Esser发现的那些问题,rgod等以前发的那些exp
  * 通过学习php手册或者官方文档了解php 一些函数的'特性'
  * fuzz php的函数,找到新的有问题的函数[不一定非要溢出的]
  * 分析php源代码,发现新的漏洞函数'特性'或者漏洞
  * 有条件或者机会和开发者学习,找到他们实现某些常用功能的代码的缺陷或者容易忽视的问题
  * 你有什么要补充的吗?
ftnchek Fortran 代码检查的利器
trymelz的专栏
12-03 1089
ftnchek 检查fortran代码错误, 不用编译 速度快 能检查出编译器查不出的问题,比如宏展开后超过72列,比如文件中出现C的语法,比如参数类型和个数不相等 有无数选项可以选择性的检查 源码简单易懂,有无数编译开关可以调整,比如输出的宽度,比如可以过滤特定的subroutine等 总之,一个好东西
SaltStack常用模块
qq_44784155的博客
08-19 699
1. SaltStack模块介绍 Module是日常使用SaltStack接触最多的一个组件,其用于管理对象操作,这也是SaltStack通过Push的方式进行管理的入口,比如我们日常简单的执行命令、查看包安装情况、查看服务运行情况等工作都是通过SaltStack Module来实现的。 当安装好Master和Minion包后,系统上会安装很多Module,大家可以通过以下命令查看支持的所有Module列表: //查看所有module列表 [root@zzl01 ~]# salt 'zzl02' sys.l
黑盒白盒测试工具
收集盒 Book box
03-19 1332
<br /><br />http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis<br />C/C++<br />1、flawfinder<br />http://www.dwheeler.com/flawfinder/<br />2、Bunny the Fuzzer (fuzzer function)<br />http://code.google.com/p/bunny-the-fuzzer/wiki/BunnyDoc<br
测试入门_网站可访问性测试入门
weixin_26737077的博客
09-03 467
测试入门Conducting your own web accessibility audit can be daunting, from deciding what tools to use, to making sure you’ve checked every guideline for WCAG level you are trying to meet. In this article, ...
delphi 应用程序开发工具
bestlove12345的博客
07-07 9410
delphi   应用程序开发工具 Delphi,是Windows平台下著名的快速应用程序开发工具(Rapid Application Development,简称RAD)。它的前身,即是DOS时代盛行一时的“BorlandTurbo Pascal”,最早的版本由美国Borland(宝兰)公司于1995年开发。主创者为Anders Hejlsberg。经过数年的发展,
SitePoint播客#106:不要成为面巾纸
热门推荐
culi4814的博客
08-12 1万+
Episode 106 of The SitePoint Podcast is now available! This week your hosts are Kevin Yank (@sentience), Stephan Segraves (@ssegraves), Patrick O’Keefe (@ifroggy, and Brad Williams (@williamsba). Sit...
微信小程序开发与运营复习
dsgbg的博客
04-22 1030
快速启动:小程序无需下载和安装,用户可以直接通过扫描二维码或搜索即可使用,大大降低了使用门槛和用户流失率。低内存占用:小程序相对于传统的原生应用来说,占用的内存更少,对手机性能的要求更低,能够在低端设备上流畅运行。无需安装:小程序不需要用户手动安装,减少了用户的操作步骤,提高了用户体验。跨平台支持:小程序可以在多个平台上运行,如微信、支付宝、百度等,开发一次即可在多个平台上使用。离线访问:小程序可以缓存数据,支持离线访问,即使在没有网络的情况下,用户仍然可以使用一些基本功能。
DELPHI简介
laotou99的专栏
12-13 1755
概述:  在古希腊神话里,DELPHI是智慧女神,米开朗基罗在意大利有著名的DELPHI雕像 。    由Borland公司推出的Delphi是全新的可视化编程环境,为我们提供了一种方便、快捷的Windows应用程序开发工具。它使用了Microsoft Windows图形用户界面的许多先进特性和设计思想,采用了弹性可重复  利用的完整的面向对象程序语言(Object-Oriented
PHP】Hyperf:接入 Nacos
iFulling的博客
08-17 562
一、安装 Java 二、安装 Nacos 1. 安装 2. 开机自启 2. 登录控制台 三、hyperf 接入 Nacos 1. 配置 Nacos 2. 配置 hyperf
ThinkPHP8学习篇(三):控制器
zorro_z的博客
08-17 848
ThinkPHP 支持传统的 MVC(Model-View-Controller)模式以及流行的 MVVM(Model-View-ViewModel)模式的应用开发,在请求流程中,控制器扮演着承上启下的核心角色 —— 它承接路由分发的请求,调度模型进行数据处理,协调视图完成最终渲染,是业务逻辑处理的中枢枢纽。本篇文章将记录 ThinkPHP 控制器的学习过程。
27.Linux 使用yum安装lamp,部署wordpress
最新发布
xie52的博客
08-18 446
实验前需要关闭防火墙和selinux,yum源使用网络yum源(wget -O /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo)(除了不允许用户远程登录选n,其他全都是y,密码为redhat)设置wordpress所属者和所属组为apache,权限为775。将wordpress复制到/var/www/html内。配置php文件,将时区改为亚洲/上海。配置wordpress数据库。
yum安装搭建lamp架构部署WordPress个人论坛
2201_75894418的博客
08-18 180
【代码】yum安装搭建lamp架构部署WordPress个人论坛。
PHP域名授权系统网站源码/授权管理工单系统/精美UI/附教程
m0_73348158的博客
08-16 579
PHP域名授权系统网站源码/授权管理工单系统/精美UI/附教程功能最多的授权系统,用户系统,工单系统,精美UI,支付系统,授权管理,产品更新,更新详情,代理返利,发卡系统,授权系统,盗版入库,团队模式,常见问题,等你来体验!自带首页二套模板主题可随意更换替换等。真正云端管控域名授权验证/IP验证/域名+IP+时间三重验证,这一切仅需在云端即可完成,不需要在客户端做任何修改。只需一段代码即可完成将代码在保持功能的前提下,做到很好的精简,现在您只需将一段代码放在用户系统中,就能实现授权管理。
【攻防实战】红队攻防之Goby反杀
「我唯一会的和擅长的只有网络安全,如果我不能在我最擅长的事情上取得成功,那么我根本不知道,我的人生还有什么意义。」
08-16 948
「那不是黑历史,那是我的来时路」
介绍TCP的拥塞控制
青鱼入云的博客
08-15 722
TCP拥塞控制的本质是“试探-反馈-调整通过“慢启动”快速接近网络容量;通过“拥塞避免”平稳提升吞吐量;通过“超时/快速重传”检测拥塞,并快速退避;通过“快速恢复”减少拥塞后的性能损失。这一机制让TCP能自适应不同网络环境(如家庭宽带、数据中心、跨洋链路),在可靠性与吞吐量之间取得平衡,是互联网稳定运行的核心保障之一。
day34-LNMP详解
a2354716112的博客
08-16 901
LNMP拆分扩展多台WEB服务器静态配置、动态挂载NFS🍟🍟🍟正向代理、反向代理🍟🍟🍟负载均衡基础🍟🍟🍟🍟🍟。
PHP If...Else 语句详解
csbysj2020
08-15 352
if...else语句是PHP编程中不可或缺的条件判断工具。通过合理运用if...else语句,我们可以实现复杂的逻辑判断,提高程序的灵活性和可读性。在实际编程中,要注重代码的规范性和可维护性,使程序更加健壮。
对象存储 COS 端到端质量系列 —— 终端网络诊断工具
云存储小天使的博客
08-18 439
正是基于以上种种考量,我们在移动端的 COSBrwoser APP 中精心开发了一款网络诊断工具。这款工具宛如一位贴心的网络医生,提供了两个重要的“诊疗”部分:一是网络探测,会探测本地网络环境、Dns、Ping、TraceRoute、Https 来判断整个链路是否通畅;二是传输测速,向目标存储桶上传一个测试文件来检测上传功能是否可用、网速是否理想,最大程度还原用户使用场景,将测试日志反馈给我们,提供尽可能准确的日志帮助我们分析排查问题。
小程序做性能分析audits
05-15
### 小程序性能分析 Audits 工具使用方法 微信开发者工具提供了内置的 **Audits** 面板,专门用于小程序的性能分析。该工具可以帮助开发者全面了解小程序在启动、运行和网络交互过程中的表现,并定位潜在的性能瓶颈。 #### 启动性能分析 启动性能主要涉及小程序冷启动时间和首屏渲染时间。通过 Audits 工具可以直观地获取这些指标的数据: - 打开微信开发者工具并加载目标小程序。 - 切换到 **Audits** 面板[^2]。 - 选择需要测试的设备型号和网络环境(如低网速或高网速),以便模拟真实用户的体验。 - 开始审计后,工具会自动计算小程序的启动耗时,并生成一份详细的性能报告,其中包括但不限于以下内容: - 首次绘制时间 (First Paint Time)[^2] - 首次内容绘制时间 (First Contentful Paint Time)[^2] #### 运行时性能分析 运行时性能关注的是小程序在实际使用过程中 CPU 和内存的表现。可以通过以下方式完成分析: - 在微信开发者工具中进入 **Performance Monitor** 或者类似的实时监控模块[^2]。 - 查看当前页面切换的时间消耗、帧率变化以及内存占用情况。 - 如果存在明显的卡顿现象,则可通过调用栈信息找到具体的函数执行路径及其对应的耗时详情[^2]。 #### 网络性能分析 对于依赖大量外部接口的小程序来说,网络请求的速度直接影响整体流畅度。因此,在 Audits 中也需要重视这部分的内容: - 使用 Audits 的 Network 功能记录所有的 HTTP 请求细节[^2]。 - 分析各个 API 响应所需时间长短及失败概率。 - 对于频繁使用的资源考虑采用缓存策略或者 CDN 加速服务来降低延迟提高效率[^3]。 #### 导出与解读性能报告 完成以上各项检测之后,还可以将最终的结果导出来作为后续改进依据: - 完成一轮完整的性能评测流程以后点击 Export Report 按钮下载 JSON/HTML 文件格式版本的总结文档。 - 结合历史数据对比新旧版本之间差异之处从而制定针对性更强得优化计划。 ```javascript // 示例代码展示如何利用 Promise.all 提升多个异步操作并发处理能力进而改善网络层面上的整体效能 Promise.all([ fetch('https://example.com/api/data1'), fetch('https://example.com/api/data2') ]).then((responses) => { return responses.map(response => response.json()); }).catch(error => console.error('Error:', error)); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值