除了明显的资源：

• http://www.tssci-security.com/archives/2010/03/18/pentesting-flex/
• http://deblaze-tool.appspot.com

测试时还需要牢记许多重要概念：

1. 必须处理 AMF
2. 可能会涉及到 Flash 文件，因此反编译、静态分析它们并检查它们的代码是最重要的——包括依赖关系和提取的链接或引用
3. AMF 参数有时会映射到具有 Javascript/Actionscript 行为的中间层（或后端）XML 或 JSON 格式的代码。您可能需要规范或源代码来提供有关交互的更多详细信息——或复杂的模糊代理。考虑使用 Quotium Seeker、Fortify SecurityScope（尤其是自动生成的 REST WADL 技术）或 Contrast Security 进行 IAST 主导的渗透测试

像测试普通 Web 应用程序一样拦截 http 流量。Charles proxy http://www.charlesproxy.com/对解码amf流量有最好的支持。

您还可以使用Burpsuite 之类的工具，类似于CharlesProxy但提供插件支持。有一个用于 AMF 测试的简洁插件，称为Blazer，它提供具有可定制攻击向量的模糊测试功能。

Blazer 的代码可以在 GitHub - Code for Blazer上找到。