如何对PHP应用程序执行安全审计？

Question

我有一个PHP应用程序，为了安全性，我希望对其进行审计。我对大多数一般的安全问题都很熟悉，但我想确保我没有错过任何事情。

我应该采取哪些步骤来进行自我审计？有哪些可用的工具？找到第三方审计师的最好方法是什么？有什么建议吗？

对白盒/代码视图审计和黑匣子/五视图感兴趣吗？

Answer 1

我建议查看以下链接：

• PHP安全审计方法
• 尖峰安全审计工具
• Zend应用程序安全审计
• 6免费PHP安全和审计工具

Answer 2

您应该从任何交互式的web代理开始，比如burp代理、paros等等。

我自己，我偏爱费德勒。无论您选择哪种工具，都可以检查所有请求/响应流，并与请求后的javascript进行交互。很好的起点。

最终，我想OWASP代码爬虫也会支持.尽管现在我还不熟悉任何免费的自动化工具。现在只是手动眼球..。

当然，你可以去找一个大供应商，比如Fortify，盎司实验室等等--但这相当昂贵，还有一罐蠕虫……

Answer 3

给谷歌的Skipfish看一眼：http://code.google.com/p/skipfish/wiki/SkipfishDoc