PHP Web 应用程序的动态分析以识别工作流程偏差

Question

我正在尝试学习 Web 应用程序安全性。我使用 RIPS、Pixy 等静态分析工具。还使用 xdebug 和 kcachegrind 对 Web 应用程序进行了分析。
现在我正在尝试对动态分析进行更多研究。我想确定分析过程中生成的调用图的工作流程偏差。
可以做这样的分析吗？
如果是这样，您能给我推荐一些可以实现这一目标的参考资料或工具吗？

Answer 1

有一些项目/论文可以满足此需求：

1. PHP Vulnerability Hunter
2. PHP 分析器
3. PHP 的静态和动态分析
   安全 (pdf)

第三项是 2006 年的学术演示，因此可能有点过时，而第一个资源似乎是我见过的最成熟的 DA 测试工具。您还可以研究蒙特卡罗方法作为向系统抛出任意输入进行测试的方法它的稳健性，特别是当您处理数字或统计数据时。

Answer 2

有一个免费工具，Paros - 用于 Web 应用程序安全评估

它不太复杂，易于使用。