skipfish无法挖掘PHP逻辑漏洞,仅能发现phpinfo泄露、备份文件、可列目录、HTTP头敏感信息及基础反射型XSS等静态问题,因其无会话保持、不解析JS、不支持请求链、缺乏状态机建模能力。
skipfish 不能直接挖 PHP 逻辑漏洞,它只是个被动式 Web 应用扫描器,只做目录枚举、文件泄露、常见配置错误和基础 SQLi/XSS 模板匹配——不理解业务流程,也不执行任何业务逻辑判断。
skipfish 实际能发现的 PHP 相关问题
skipfish 对 PHP 站点的作用非常有限,主要集中在静态暴露面:
-
phpinfo()页面泄露(路径如/info.php、/test.php) - 备份文件:如
index.php.bak、config.php~、.git/泄露 - 可列目录(
Directory listing enabled)导致源码或日志暴露 - HTTP 头泄露敏感信息(
X-Powered-By: PHP/7.4.33+ 已知 CVE 版本组合) - 基础反射型 XSS 检测(靠预设 payload 匹配响应体,误报高、绕过容易)
为什么 skipfish 扫不出逻辑漏洞
逻辑漏洞(如越权访问、支付金额篡改、状态机跳过、密码重置 token 重放)依赖对业务流程的理解和交互式验证。skipfish:
- 不记录会话上下文(不会保持
PHPSESSID并按顺序发请求) - 不解析 JavaScript,无法触发前端控制的逻辑分支
- 不支持自定义请求链(比如“注册→登录→提交订单→修改订单状态”这种序列)
- 所有检测基于单次请求-响应比对,没有状态机建模能力
真要挖 PHP 逻辑漏洞,该换什么工具+怎么配合
skipfish 可以当第一层“资产清点”工具,但后续必须人工介入 + 其他工具辅助:
立即学习“PHP免费学习笔记(深入)”;
- 用
gau或waybackurls拉历史 URL,重点关注含?id=、&action=、api/的 PHP 路径 - 用
curl -I或httpx快速检查Server、X-Powered-By、Set-Cookie头,确认是否为 PHP 站及版本 - 手动抓包重放关键请求(推荐
Burp Suite或mitmproxy),重点改Cookie、Referer、POST参数、JSON字段值 - 搜索 PHP 特有危险函数调用痕迹:在响应中搜
eval(、system(、passthru(、$_GET[、$_REQUEST[(需先拿到源码或备份)
skipfish 输出的报告里如果出现大量 403 或 401 的 PHP 路径,别急着跳过——这些往往是未鉴权的管理接口或调试入口,得人工点开看返回内容。逻辑漏洞从来不在扫描器报告里,而在你盯着 Burp 的 Repeater 多改了三次参数之后。
