我正在尝试学习Web应用程序安全。 我使用过像RIPS、Pixy这样的静态分析工具。 还使用了xdebug和kcachegrind对Web应用程序进行了分析。
现在我正在研究更多关于动态分析的内容。 我想通过在分析期间生成的调用图中识别工作流程偏差。
是否可能进行这样的分析?
如果可以的话,您能否推荐一些参考资料或实现此目的的工具?
2个回答
6
有一些项目/论文可以解决这个需求:
- PHP漏洞猎人
- PHP分析器
- PHP安全的静态和动态分析 (pdf)
第三个项目是2006年的学术报告,因此可能有些过时,而第一个资源似乎是我见过的最成熟的DA测试工具。您还可以了解蒙特卡罗方法作为一种测试系统强度的方式,特别是如果您处理数字或统计数据。
- Duane Gran
4
感谢你的回复,我觉得那些很有用。我正在寻找的更像是多模块状态分析器。类似MiMoSA的分析器是否在工业界中被应用于提高Web应用程序的安全性? - user1168647
很高兴能帮到你。我查看了一下PHP的MMSA,最接近的是一个演示文稿(ppt),其中第36页提供了一些PHP示例。我认为没有任何工具集,因为这种漏洞与应用程序的数据流紧密相关。 - Duane Gran
我实际上正在尝试实现那个演示中给出的MiMOSA。是否有像visio这样的数据流分析工具?在使用xdebug动态分析应用程序时,能否获取并存储应用程序状态变量? - user1168647
我希望我能更有帮助,@user1168647,但你可能在这方面处于领先地位。如果你建立这样的工具,我很想知道并有可能合作。 - Duane Gran
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接