Мне интересно найти инструменты с открытым исходным кодом для аудита некоторого кода PHP, который я не писал, прежде чем запускать его в производство. Мне понадобятся сканеры HTTP-зондирования черного ящика, а также парсеры / анализаторы статического кода.
Где я могу найти полный список всех таких инструментов и меньший список из них, которые действительно стоит попробовать?
Вот и начало. Я не пробовал ни одного из них:
Возврат 4 в него входит набор инструментов для тестирования веб-приложений и фаззинга. Поэтому я стараюсь начать с найденного на нем инструмента. В прошлом мне повезло с W3AF выявление проблем в конфигурациях apache и php.ini, а также в унаследованных мной PHP-приложениях.
Выполнив ранее аудит как исходного кода, так и черного ящика, я склонен рекомендовать Acunetix или IBM Hailstorm. Как уже упоминалось ранее, W3AF - очень хорошая программа. Но ни одна из этих программ не так хороша, как самостоятельная работа.