Что может сканер безопасности

Урок 145 из 267
Автор: Анна Кокина
Сложность урока:
2 уровень - несложные понятия и действия, но не расслабляйтесь.
2 из 5
Просмотров: 1345
Ограничения по редакциям: Старт

Сканер безопасности

Сканер безопасности - это инструмент, который позволяет выявить потенциальные ошибки и упущения, связанные с безопасностью сайта.

  • Чтобы сканер имел возможность проводить статический анализ уязвимостей, необходимо установить и включить в системе PHP расширение Tokenizer. Tokenizer (лексер) - интерфейс для анализа кода.

    Лексические функции предоставляют интерфейс ко встроенному в Zend Engine PHP-лексеру (tokenizer). Используя эти функции, вы можете писать собственные утилиты анализа или модификации исходного кода на PHP без необходимости иметь дело с языковой спецификацией на лексическом уровне.
    Подробнее...
  • При статическом анализе уязвимостей сканер может "подвисать" на проверке больших скриптов (больше 100 Кб). Рекомендуется убирать такие скрипты на время проверки сканером или разбивать скрипты на части.

На текущий момент сканер может следующее:

  • Выполнять внутреннее сканирование окружения проекта (к примеру, безопасно ли хранятся файлы сессий);
  • Выполнять проверку настроек сайта (к примеру, включен ли WAF, установлен ли пароль к базе данных и т. д.);
  • Выполнять поиск потенциальных уязвимостей в коде проекта с помощью статического анализа;
  • Запускать внешнее сканирование.

    Примечание: Внешнее сканирование будет запущено, если сайт доступен снаружи (например, расположен на хостинге, а не на локальной машине) и в опции URL сайта (без http://) настроек главного модуля указан правильный адрес.

Минимальные системные требования по сканеру безопасности:

  • Статический анализ уязвимостей - наличие расширения tokenizer (см. выше), max_execution_time не менее 20 секунд, memory_limit не менее 256Мб;
  • Проверка прав доступа к файлам - max_execution_time не менее 20 секунд.

После нажатия кнопки Запустить сканирование система произведет поиск угроз безопасности и выдаст рекомендации по их устранению.

Примечание: Для некоторых сообщений сканера доступны подробные описания обнаруженной проблемы в секции Детали.

Документация по теме:



Курсы разработаны в компании «1С-Битрикс»
Спасибо, мы рады что смогли помочь Вам. Ниже Вы можете оставить свой отзыв или пожелание :)
Нам жаль это слышать… Но мы постараемся быть лучше! Поясните, пожалуйста, свой выбор:

Мы благодарны Вам за помощь в улучшении документации.

Мы стараемся сделать документацию понятнее и доступнее,
и Ваше мнение важно для нас