我有兴趣find开源工具来审计一些我没有写的PHP代码,然后投入生产。 我需要黑盒HTTP探测扫描器以及静态代码分析器/分析器。
我在哪里可以find所有这些工具的一个很好的综合列表,以及哪一个实际值得尝试的小列表?
这是一个开始。 我还没有尝试过其中的任何一个:
Backtrack 4包含一系列的Web应用程序testing和模糊工具。 所以我倾向于从上面find的工具开始。 在过去,我已经很好运用W3AF识别apache和php.iniconfiguration中的问题以及我已经inheritance的PHP应用程序。
在做过源代码和黑箱审计之前,我倾向于推荐Acunetix或IBM的Hailstorm。 如前所述,W3AF是一个非常好的软件。 但是这些软件都不如自己做的那么好。