【代码审计工具】PHPAuthScanner V1.0发布

admin 2025年5月8日14:42:51评论2 views字数 1245阅读4分9秒阅读模式
【代码审计工具】PHPAuthScanner V1.0发布
【代码审计工具】PHPAuthScanner V1.0发布
点击上方蓝字·关注我们

免责声明
【代码审计工具】PHPAuthScanner V1.0发布
由于传播、利用本公众号菜狗安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号菜狗安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,会立即删除并致歉。

前言
【代码审计工具】PHPAuthScanner V1.0发布
之前写的审计小工具,完善了规则,加上了图形化界面,使用更加方便
文章目录
【代码审计工具】PHPAuthScanner V1.0发布
项目概述主要功能适用场景使用说明       运行方式    操作步骤    演示视频打包指南注意事项未来改进最后

项目概述

项目地址:

https://github.com/caigo8/PHPAuthScanner

PHPAuthScanner 是一款专为PHP代码审计设计的自动化安全审计工具,用于检测PHP项目中的方法文件是否鉴权,用于未鉴权文件筛选,更快速的帮我们筛选出未进行鉴权的文件,提升我们挖掘前台漏洞的效率。它通过扫描项目文件,检查是否缺少必要的身份验证代码(如sessionauthlogin等关键字),帮助开发者快速识别潜在的安全风险。

【代码审计工具】PHPAuthScanner V1.0发布

主要功能

✅ 图形化GUI

  • 无需命令行交互,鼠标点点即可🐒

✅ 多目录扫描

  • 考虑到Thinkphp等框架的目录结构特殊,加上了多目录扫描,在面对框架时减少无用文件扫描

✅ 自定义关键词匹配

  • 可配置关键词(如 sessionauthAdminBase 等),灵活适应不同框架。

✅ 智能正则表达式生成

  • 自动生成匹配规则,检测变量、函数调用、类继承等鉴权逻辑。

✅ 可视化报告输出

  • 生成易读的扫描报告,列出所有未鉴权的PHP文件路径。

✅ 独立EXE可执行文件

  • 支持打包成Windows可执行文件(.exe),无需Python环境即可运行

适用场景

🔹 代码安全审计:检查PHP项目是否存在未授权访问风险,快速筛选未鉴权文件

使用说明

运行方式

方式1:直接运行Python脚本

python start.py

方式2:使用打包好的EXE

PHPAuthScanner.exe  # 双击运行

操作步骤

  1. 添加扫描目录:选择要检查的PHP项目文件夹。
  2. 设置关键词(可选):默认包含 sessionauth 等常见鉴权关键词。
  3. 开始扫描:自动分析所有PHP文件。
  4. 查看结果:显示未鉴权的文件列表。
  5. 导出报告:保存结果为 scan_results.txt

在线视频演示

打包指南

# 安装PyInstallerpython -m pip install pyinstaller# 打包成EXE(单文件)python build.py

生成的EXE位于 dist/ 目录下

注意事项

⚠ 误报处理:部分框架可能使用自定义鉴权方式,需手动调整关键词。

⚠ 性能优化:超大项目建议分批扫描。

⚠ 安全建议:扫描结果需人工复核,不可完全依赖自动化工具。

未来改进

🛠 支持更多框架(如Laravel、Symfony专用规则)

🛠 增加API模式(集成CI/CD流水线)

🛠 增强正则规则(检测OAuth、JWT等鉴权方式)

🛠 开发其它功能点,接入AI鉴权分析

原文始发于微信公众号(菜狗安全):【代码审计工具】PHPAuthScanner V1.0发布

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月8日14:42:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【代码审计工具】PHPAuthScanner V1.0发布https://cn-sec.com/archives/4041940.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息