🐞 在黑客之前发现安全漏洞——静态代码分析

学习如何使用Semgrep（一个快速的开源静态分析工具）来检测PHP或WordPress代码中的安全漏洞。在攻击者发现之前识别SQL注入、XSS和不安全函数等风险。通过自动化应用安全检查实现安全左移，让代码更加安全。

引言

在应用安全领域，预防胜于补救。每天都有开发者推送后来变成安全事件的代码——SQL注入、XSS、不安全的eval调用。

Semgrep是一个开源静态分析工具，可以在代码进入生产环境之前检测这些漏洞。它快速、轻量级，并且可以根据您的具体项目或框架（如WordPress）进行定制。

本指南从应用安全角度展示如何使用Semgrep来保护PHP项目，并在CI/CD流水线中实现自动化检测。

Semgrep（语义Grep）扫描您的源代码以查找易受攻击的模式。与正则表达式不同，它能理解语言语法和上下文。这意味着它可以标记以下问题：

创建帐户以阅读完整故事。

作者仅向Medium会员提供此故事。

如果您是Medium的新用户，请创建一个新帐户来阅读此故事。

在应用中继续或者，在移动网页中继续

使用Google注册使用Facebook注册使用电子邮件注册

已经有帐户了？登录

关注

由Israel Aráoz Severiche撰写 512位关注者·32位关注中 {💀网络安全工程师🐞} / {🥋巴西柔术棕带} / {🌐https://twitter.com/iara0z}

关注

尚无回复

撰写回复

您有什么想法？取消回复

更多来自Israel Aráoz Severiche的内容 Israel Aráoz Severiche 黑客攻击API：发现和枚举API/端点困难的是当您有API列表，但不知道它们来自哪里或被从哪里调用，有时它们是从Web调用的… 2023年11月15日拍手图标140 回复图标1

Israel Aráoz Severiche 黑客攻击API：JSON负载验证不足 API是现代应用的支柱。从移动应用到SaaS平台，API大规模连接服务和用户。但许多REST… 9月30日拍手图标7

Israel Aráoz Severiche 黑客攻击API：利用GraphQL 引言 9月29日拍手图标11

Israel Aráoz Severiche 黑客攻击API：现代API的枚举和侦察技术在利用API之前，攻击者需要了解它们的工作原理。API侦察是发现端点、参数的过程… 6月10日拍手图标36

查看Israel Aráoz Severiche的所有内容

Medium推荐 InInfoSec Write-ups 作者：Danish Ahmed 在失去漏洞赏金希望后，我如何发现一个250美元的XSS漏洞 📌 免费链接 5天前拍手图标202 回复图标2

Anonymous Traiger 🕷️ 黑客攻击Laravel获利7,000美元好友链接-链接 10月13日拍手图标1

Achraf (@40rbidd3n) Intigriti - 挑战 - 1025 摘要：我通过链接challenge.php?url=中的SSRF来读取内部文件，解决了Intigriti十月挑战，发现了头部检查… 10月14日拍手图标70

Jaeden Samia 我如何获得政府网站的完全管理员控制权很久没有在这里写报告了，所以我会更详细地介绍我的过程和漏洞。 10月14日拍手图标26

InMeetCyber 作者：Abhirup Konwar 代码审查：admin_init和init钩子在代码库中发现漏洞的零日技术 10月13日拍手图标62

Aman Sharma “两个‘无聊’的安全漏洞让我赚了60美元” 让我告诉您我作为漏洞赏金猎人最令人沮丧的一周。我花了40小时测试一家主要金融科技公司，发现… 10月9日拍手图标83 回复图标1

查看更多推荐