ITエンジニア/デザイナ向けにオープンソースを毎日紹介

Pecker ScannerはPHP製のオープンソース・ソフトウェア(GPL)です。

便利だけれど安易な利用は危険な関数や処理と言ったものはプログラミング言語に確実に存在します。それを発見してくれるPHPのツールがPecker Scannerです。


実行例。evalやexecなどを検出しています。

こちらがそのソース。

関数を文字列として定義してそれを関数として呼び出すと言った処理に対しても検出ができています。さらにbase64で文字列をデコードした場合も同様です。その他create_functionなどセキュリティホールになりがちな処理も検出してくれます。Pecker Scannerを使えば完全安心という訳ではありませんが、危ない処理が存在しないか確認するためにも使っておくといいでしょう。


MOONGIFTはこう見る

CMSやプラグイン機構の備わっているソフトウェアの場合、どうしても動的に処理を追加する場面が出てきてしまいます。そこで危険なコードを実行する危険が存在します。evalなどは確かに便利な仕組みですが、その結果として大きな不具合につながる可能性もゼロではありません。利用には注意が必要です。

さらにサーバ側の処理などでexecやsystemを使っていると危険なファイルにアクセスされたり、盗み見られる可能性もあります。なるべくであれば使わないのが良いでしょう。そういったコードは開発中にはあるかも知れませんが、本番環境下で使える状態になっていないかPecker Scannerを使ってチェックしてみると良さそうです。

cfc4n/pecker

 

MOONGIFTの関連記事

コメント

  • DevRel
  • Com2