我有兴趣在将其投入生产之前找到用于审核一些我没有编写的 PHP 代码的开源工具。我需要黑盒 HTTP 探测扫描器以及静态代码解析器/分析器。
我在哪里可以找到所有此类工具的完整列表,以及哪些工具实际上值得尝试的较小列表?
这是一个开始。我没有尝试过任何一个:
AskOverflow.Dev
我有兴趣在将其投入生产之前找到用于审核一些我没有编写的 PHP 代码的开源工具。我需要黑盒 HTTP 探测扫描器以及静态代码解析器/分析器。
我在哪里可以找到所有此类工具的完整列表,以及哪些工具实际上值得尝试的较小列表?
这是一个开始。我没有尝试过任何一个:
Backtrack 4附带了一堆 Web 应用程序测试和模糊测试工具。所以我倾向于从上面找到的工具开始。过去,我在W3AF发现 apache 和 php.ini 配置以及我继承的 PHP 应用程序中的问题时运气不错。
之前做过源代码和黑盒审计,我倾向于推荐 Acunetix 或 IBM 的 Hailstorm。如前所述,W3AF 是一款非常好的软件。但是这些软件中没有一个比你自己做的好。