Peachpie: Bezpečnostní analýza webových stránek
Intended Scope: Bachelor thesis, master thesis, software project
Required Skills: C#, PHP
Description:
Jelikož drtivá většina internetu je tvořena dynamickým jazykem PHP, vzniká spousta nástrojů pro údržbu a optimalizaci aplikací na PHP postavených. Nejnovější přírůstek na půdě MFF UK je kompilátor Peachpie, který je postavený na kompilátoru Microsoft Roslyn. Peachpie kompiluje PHP do mezikódu CIL, který lze spustit na platformě Microsoft .NET, .NET Core a Mono. Díky kompilaci získáme rychlejší a bezpečnější kód, který lze navíc snadno integrovat s dalšími jazyky splňujícími specifikaci CLI (C#, F#, Visual Basic atd.).
V rámci kompilace PHP kódu pomocí Peachpie probíhá důkladná typová analýza, díky které jsme schopni v řadě případů generovat velmi efektivní kód. Díky dobré rozšiřitelnosti tohoto systému je možné přidat i další analýzy zaměřené na specifické problémy, např. právě na zabezpečení webu. Jednoduchými analýzami lze například odhalit použití zastaralých šifrovacích a hashovacích funkcí. Složitější je pak např. taint analýza, díky které lze “vystopovat” předávání uživatelského vstupu do databáze bez dostatečného ošetření, umožňující SQL injection.
Konkrétní druhy analýz si domluvíme v závislosti na očekávaném rozsahu projektu (např. na softwarový projekt budou kladeny větší nároky než na bakalářskou práci). Jakékoliv nápady na rozšíření tématu (např. o dynamické testování, provoz na cloudu apod.) jsou rovněž vítány.