فازر چیست ؟
فازر ها برنامه هایی هستند که به صورت پویا و ایستا بر نامه های شما را آنالیز کرده و نتیجه را به شما تحویل میدهند. اساس کار فازر دادن مقادیر زیاد ، کم و خاص به ورودی ها و توابع برنامه شما است. اولین فازری که خدمت شما معرفی میکنم ،
SWAAT نام دارد.

SWAATچیست ؟
SWAAT یک برنامه برای بررسی  و آنالیز برنامه های نوشته شده به زبان های تحت وب به صورت سورس کد آنالیز و ایستا است.این برنامه  توانایی یافتن کدها و توابع آسیب پذیر نوشته را دارد. و با این کار شما میتوانید قبل از مورد نفوذ قرار گرفتن توسط هکر ها خود برنامه تان را امن سازید.

چه سیستمی برای اجرای برنامه مورد نیاز است؟
SWAAT طراحی شده برای و یا فریم ورک بزرگتر  است.SWAAT با موفقیت بر روی هر دو سیستم ویندوز و  لینوکس   اجرا و بررسی شده است.

چگونه نسخه  فریم ورک دات نت خود را بررسی کنید؟
برای اطلاع از نسخه فعلی و نصب دات نت فریم ورک سیستم خود به دایکتوری

C:WindowsMicrosoft.NETFramework 

و یا  هر درایوی که ویندوز خود را رنصب کرده این ، مراجعه کنید. در این پوشه ، پوشه دیگری موجود است که نسخه فریم ورک شما را نیز نمایش میدهد.

چگونه
SWAAT را اجرا کرده و استفاده کنیم ؟
نسخه فعلی
SWAAT تنها قابل اجرا بر روی دایرکتوری است که نصب شده است. این فازر تحت خط فرمان ویندور و Mono د رلینوکس قابل اجرا است.به طور مثال به صورت زیر:

swaat ..myapp 

اکنون SWAAT بر رو تمامی فایل های موجود در c:\program files\myapp اجرا خواهد شد.شما به راحتی میتوانید SWAAT را بر روی یک فایل خاص اجرا کنید.

c:program filesswaat> swaat ..myAppsomefile.php 

نتیجه آنالیز فایل های شما در فایلی به نام " ( ساعت روز ماه سال )-SWAAT " در دایکتوری که SWAAT نصب شده است ذخیره میشود به طور مثال به صورت :

SWAAT-20060723164024.html 

برای تغییر نام این فایل و یا ذخیره در فایلی خاص میتوانید از سوییچ o- استفاده کنید.

c:program filesswaat> swaat –o myOutput.html ..myApp 

برای اجرا SWAAT بر رئی تمام فایل هایی که تنها پسوند آنها PHP است میتوانید از سوییچ x- استفاده کنید.

c:program filesswaat> swaat –x ..myApp*.php 


دیگر آپشن های
SWAAT چه هستند ؟
یکی دیگر از سوییچ هایی که میتواند هدف شما را هر چه محدود تر و نتیجه  هار را تخصصی تر کن استفاده از سوییچ
l lang-  است. با استغاده از این سوییچ میتوانید  زبان مورد نظر را انتخاب کرده و ادامه ماجرا ها ... .

c:program filesswaat> swaat –a PHP ..myApp \
نکته : نام زبان مورد نظر حتما باید بزرگ نوشته شده باشد.
سوییچ
I- نیز برای ایگنور کردن  مقادیر مشخص شده توسط شما در هنگام خواندن فایل ها است.

نتیجه ها را چگونه بررسی کنیم ؟
نتیجه ها شامل جدول های گوناگونی است.بر خی از موارد شامل مقادی زیر است که هر یک را توضیح میدهم.

Finding Name 

نامی برای مقدار پیدا شده ، به طور مثال یک تابع خطرناک مانند ()eval .

Severity of Finding 

مقدار خطر  مشکل پیدا شده که سه درجه High ، Medium  و  Low را شامل میشود.

Description 

مشخات و اطلاعات تکمیلی در مورد آسیب پذیری و یا تابع پیدا شده.

Finding Locations 

نام فایل و خطوطی که در آن تابع و یا برنامه های آسیب پذیر یاف شده اند.
مثال:
Finding Name

eval

Severity of Finding High
Description This function should never take unchecked user
 input as a parameter. Reasons for this vary, but it might be the case that,
 for instance, it is evaluated by the language 
environment or by an external program such as a shell.
Finding Locations  In 
C:swaatswaatswaattestsexample.php, line 9
 (context is <?php eval("evil!") ?>)
In 
C:\swaat\swaat\swaat\tests\example.php, line 59 
(context is eval("secondary evil");)
In 
C:\swaat\swaat\swaat\tests\example.php, line 60 
(context is eval("lesser evil");) 

  

چه زبان هایی را میتوان با
SWAAT بررسی کرد ؟
زبان های:
JAVA,JSP,ASP,.NT ,PHP
در این نسخه از
SWAAT پشتیبانی میشوند.

چگونه
SWAAT را بارگزاری کنیم؟
شما میتوانید
SWAAT را از سایت سازنده آن
بارگزاری کنید .

نکته : این برنامه توابع زیر را در برنامه های
PHP مرود بررسی قرار میدهد که شما خود میتوانید آن ها را افزایش دهید:

eval
system
popen
mail
posix_ttyname
posix_getlogin
posix_mkfifo
opendir
chmod
chown
link
rename
mkdir
is_(dir|executable|file|link|readable|writeable)
dirname
pathinfo
(l?)stat

بازگشت