0x00背景

对于PHP代码审计的需求，我们当然需要一款好的php代码审计分析工具--RIPS，它使用了静态分析技术，能够自动化地挖掘PHP源代码潜在的安全漏洞如XSS ，sql注入，敏感信息泄漏，文件包含等常见漏洞；也可以采用正则方式扫描代码发现漏洞；还能够采用自定义的语法扫描代码发现问题。渗透测试人员可以直接容易的审阅分析结果，而不用审阅整个程序代码。由于静态源代码分析的限制，漏洞是否真正存在，仍然需要代码审阅者确认。

0x01 下载与安装

下载地址：https://sourceforge.NET/projects/rips-scanner/

解压到网站根目录：C:\xampp\htdocs\rips

在浏览器中打开：http://localhost/rips/

0x02 专项审计

1 SQL注入

2 跨站脚本

3 文件包含

4 代码执行

5 文件上传

0x03 整体审计

1 单一项目整体审计

2 所有项目整体审计