Ich schlage vor, einen Blick auf die folgenden Links zu werfen:

• HOWTO zur PHP-Sicherheitsüberprüfung
• Spike PHP Security Audit Tool
• Zend Application Security Audit
• 6 kostenlose &-Auditing-Tools für PHP-Sicherheit

Sie sollten mit jedem interaktiven Web-Proxy beginnen, z. B. Burp-Proxy, Paros usw.
Ich selbst bin Teil von Fiddler. Unabhängig davon, für welches Tool Sie sich entscheiden, können Sie den gesamten Anforderungs- / Antwortfluss untersuchen und mit den Anforderungen nach Javascript interagieren. Toller Ort, um zu beginnen.

Irgendwann stelle ich mir vor, dass der Code-Crawler von OWASP auch PHP unterstützt ... obwohl ich derzeit mit keinem kostenlosen automatisierten Tool dafür vertraut bin. Im Moment nur manuelle Augäpfel ...
Natürlich können Sie sich für einen der großen Anbieter entscheiden, z. Fortify, Ounce Labs usw. - aber das ist ziemlich teuer und eine weitere Dose Würmer ...

Sehen Sie sich Googles Skipfish an: http://code.google.com/p/skipfish/wiki/SkipfishDoc

Es gibt Unmengen von Werkzeugen und es ist wirklich eine persönliche Präferenz dafür, was man für einen Pentest verwenden wird. Probieren Sie also alle von mir und anderen genannten aus und wählen Sie diejenigen aus, die am besten zu Ihnen passen.

Für die Überprüfung des Sicherheitscodes (Whitebox-Test) würde ich die Verwendung von RIPS empfehlen. Es ist das Beste unter denen, die ich versucht habe.

Für einige Blackbox-Tests benötigen Sie auf jeden Fall einen abfangenden Proxy. Es gibt viele davon, aber ich würde vorschlagen, dass Sie sich Fiddler ansehen, wenn Sie unter Windows arbeiten. Burp / WebScarab / Zed Attack Proxy sind ebenfalls großartig. Wenn Sie einige der Injektionstests automatisieren möchten, holen Sie sich einige gängige Nutzdaten aus fuzzdb.

Machen Sie sich auch mit Browser-Addons wie Firebug und Chrome Developer Tools vertraut. Sie sind eine große Hilfe.

Versuchen Sie abschließend Lesezeichen aus Open Penetration Testing Bookmarks Collection. Es ist eine riesige Liste (nur damit Sie wissen, wie viele Werkzeuge es gibt), aber es gibt viele Edelsteine ​​darin.

Wenn Sie sicherstellen möchten, dass Sie nichts verpassen, lassen Sie sich am besten von einem Experten untersuchen. Zu viele Probleme treten auf Websites auf, auf denen ein Entwickler einfach nicht weiß, dass er nicht den Best Practices folgt, oder nicht versteht, dass gängige "sichere" Praktiken überhaupt nicht sicher sind! (zB "Ich muss mein SQL nicht parametrisieren, solange ich einfache Anführungszeichen durch einfache Anführungszeichen mit Backslash ersetze, oder?")

Wenn Sie ein Unternehmen sind, beauftragen Sie ein externes Pentesting-Unternehmen um einen Test Ihrer Anwendung durchzuführen. Sie sind nicht sehr teuer und werden die meisten Probleme finden. Es ist sicherlich billiger für ein Unternehmen, eine Pentesting-Firma einzustellen, als Tage Zeit damit zu verschwenden, Mitarbeiter auf das volle Gehalt zu schulen, um einige Fehler zu finden, und es ist sicherlich billiger als zu versuchen Bauen Sie Ihr Unternehmen nach einem schwerwiegenden Verstoß gegen Kundendaten wieder auf.