我正在努力学习Web应用程序的安全性。我使用过像RIPS、Pixy这样的静态分析工具。还使用xdebug和kcachegrind对web应用程序进行了评测
现在我正在尝试对动态分析进行更多的研究。我想从分析过程中生成的调用图中确定工作流程偏差
有可能进行这样的分析吗
如果是的话,你能给我推荐一些参考资料或工具吗?
有一些项目/论文解决了这一需求:
- PHP漏洞猎人
- PHP分析器
- PHP的静态和动态分析安全性(pdf)
第三个项目是2006年的学术报告,所以它可能有点过时,而第一个资源似乎是我见过的最成熟的DA测试工具。您也可以将蒙特卡罗方法视为向系统抛出任意输入的一种方法,以测试其稳健性,特别是在处理数值或统计数据时。
有一个免费的工具,Paros-用于web应用程序安全评估
它不太复杂,很容易操作。