Laravel漏洞扫描工具
各维度得分依据公开资料与字段推算,加权后即综合评分,仅供参考。
HAVOC 是面向 Laravel/PHP 的框架感知安全扫描工具,定位不同于通用 SAST。它宣称理解 Laravel policies、Gates、middleware 与 Eloquent scoping,通过 AST 分析发现更贴近业务语义的漏洞,例如缺失 $this->authorize()、批量赋值、Blade XSS、SQL 注入、IDOR、权限提升和凭据暴露等。它可在本地、CLI、GitHub Action 和 PR 流程中运行。
其突出能力是“授权覆盖率”:解析公开 controller 方法,统计是否存在 authorize、Gate、can 或路由中间件检查,类似安全版代码覆盖率。CI 中支持 diff-aware 扫描,只扫描 PR 变更文件并结合历史覆盖率。输出支持 text、json、sarif、github,可用于 GitHub Code Scanning。付费云端提供仪表盘、趋势、AI triage、自动修复 PR、团队协作与告警;企业版支持 self-hosted scanner,源码不离开网络。官网说明源码会被克隆后立即删除,仅保存 findings、coverage metrics 与 metadata。
免费版包含 1 个仓库、CLI/GitHub Action、PR 行内评论、状态检查、授权覆盖率和全部框架分析器,本地扫描不限量,性价比较高。Solo 为 $29/月,Team 为 $149/月,Business 为 $499/月,Enterprise 定制。Team 起提供 Slack、Discord、Email 告警和漏洞利用测试生成;Enterprise 提供 SAML/SSO、审计日志、99.9% SLA、专属支持和定制集成。账单通过 Stripe,付费功能 14 天免费试用且无需信用卡。
优点是对 Laravel 授权模型理解较深,能把安全问题直接反馈到 PR 行内,并能生成 PHPUnit 漏洞利用测试和自动修复 PR,适合把安全门禁左移到开发流程。免费版不是纯演示,对个人和开源项目友好。局限是当前深度支持主要限 Laravel,Rails 与 Django 仍在路线图;官网中分析器数量有 15 与 9 两种表述,说明文档一致性需改进。产品仍处 Beta,检测率、误报率和稳定性应在真实仓库验证。
正文未提供中国大陆访问、人民币支付或本地化支持信息,china_access 只能判定为未知。由于依赖 GitHub、GitHub OAuth、Stripe 及云仪表盘,中国团队需要自行验证网络连通性、支付可用性和数据合规。若需国内支持或私有化,可对比 Semgrep、Snyk、SonarQube、GitHub Code Scanning,以及国内代码安全/DevSecOps 厂商方案,但需重点确认 Laravel 框架语义分析能力。
本测评基于公开资料整理,不构成购买建议,请以 havoc.cloud 官网实际信息为准。
面向Laravel的框架感知安全扫描,Beta可试用。
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。