Laravel Sikkerhedsscanner

Laravel Sikkerhedsscanner - gratis og hurtig scanning af kritiske elementer

Af Kristian Just

Laravel er allerede veludrustet når det kommer til sikkerhed, hvor de indbyggede moduler som fx authentication og authorization dagligt bliver udfordret af de mange virksomheder, der anvender Laravel i deres kritiske produktionsmiljøer.

Det er stadig muligt at komme galt afsted! Selv med stor forsigtighed, kan man komme til at lave små fejl, der kan have store konsekvenser.

Automatisk sikkerhedsscanning

Vi har derfor udviklet en gratis sikkerhedsscanner, der automatisk kan scanne din Laravel applikation for kritiske sårbarheder. Det er en hjælpende hånd til enhver Laravel konsulent, og giver et ekstra lag af tryghed, når der udvikles nye funktioner eller ændres i eksisterende PHP systemer.

Security Scanner for Laravel er udviklet til at scanne Laravel installationer, men vil i større eller mindre grad også bruges på andre PHP projekter samt hjemmesider generelt. Specifikke checks gør, at den er specielt velegnet til at genkende sårbarheder, der typisk vil opstå ifm. opsætning eller deployment af Laravel løsninger.

Security Scanner for Laravel - scanning form

Så, hvordan virker den?

Sikkerhedsscanneren scanner din hjemmeside udefra, dvs. den har ikke yderligere adgang til din kodebase end en hvilken som helst anden (mulig ondsindet) bruger.

Den vil ikke kunne scanne selve din kodebase, medmindre noget af denne kodebase er offentligt tilgængelig ved en fejl.

Scanneren tilgår med andre ord destinationssiden med almindelige HTTP kald i forskellige afskygninger, og analyserer herefter både svartid, svar headers og svar body.

Hvad scannes der for?

Der bliver løbende udviklet nye checks til scanneren, men på nuværende tidspunkt scannes der blandt andet for, om du ved en fejl røber information om dit servermiljø, fortæller for meget om hvilken version af Laravel du benytter, om du har angivet de rigtige sikkerhedsheaders, om dine cookies er sikre og om dit SSL certifikat er gyldigt.

Du bliver tildelt en score ud fra, hvor mange checks du opfylder. Scanneren giver dig resultatet med et smiley og en forklaring 😊

Security Scanner for Laravel - results

Bliv underrettet ved nye sårbarheder

At køre en test én gang giver dig en tryghed i øjeblikket.

Ønsker du at blive underrettet ved fremtidige ændringer til sikkerheden på din side, kan du tilmelde dig et gratis abonnement. Abonnementet gør, at vi scanner dit site med en fast frekvens - resultatet får du direkte på din mail.

Du har også mulighed for at integrere sikkerhedsscanneren igennem det åbne API. Det giver dig mulighed for at køre scanninger direkte i din build eller deployment pipeline. Vi har lavet en køreklar GitHub Action, som du kan bruge til formålet

Anvender du ikke GitHub Actions vil du alligevel kunne læse ud fra koden i ovenstående repository, hvordan du bruger den underliggende API.

Security Scanner for Laravel - github actions

Alternativer

Der findes allerede en række gode alternativer til vores sikkerhedsscanner, som vi også selv anvender i vores daglige arbejde.

Snyk er til en vis grad gratis, og er nemt at sætte op. Det har den fordel, at den scanner din kodebase og dit site behøver derfor ikke være tilgængeligt online. Dette kan samtidig være en ulempe, hvis du ikke er i en position til at dele kodebasen med en 3. parts service.

Qualys er mere enterprise orienteret og sværere at komme i gang med, men passer muligvis bedre til enterprise virksomheder.

De forskellige værktøjer kan godt køre samtidig, og kan implementeres ud fra dit temperament til både pris og opsætning.

Prøv den her

Scanneren ligger gratis tilgængelig på ephort.dk/scanner.

Ping mig eller en kollega på, hvis du har forbedringsforslag. Håber værktøjet kan hjælpe dig.

31. JUL 2023

LinkedIn - Email