Как я могу найти уязвимости в системе безопасности в моем исходный код?
В оригинале, и по-прежнему лучший способ для поиска уязвимостей в исходный код для чтения и понимания исходный код.
Исходный код уязвимости в системе безопасности будет варьироваться между языками и платформами.
Пункты смотреть в C код, включают:
| Потенциальная уязвимость | Функция требует изучения уязвимостей |
|---|---|
| Буфера | получает (), scanf (), sprintf (), strcat (), вызов () |
| Формат строки уязвимостей | printf (), fprintf (), vprintf (), snprintf (), vsnprintf (), SYSLOG () |
| Условия | доступ (), chown (), chgrp (), Chmod (), mktemp (), tempnam (), tmpfile (), tmpnam () |
| Случайные числа приобретение уязвимостей | RAND (), случайное () |
| Shell Метасимвол уязвимостей | EXEC (), popen (), система () |
Автоматизированная Источник кодекса уязвимости Сканеры
Есть интеллектуальные инструменты, которые помогут вам изучить большое количество исходного кода для уязвимости в системе безопасности.
| Инструмент | Описание |
|---|---|
| Flawfinder | Изучение исходного кода сообщения и возможной уязвимости в системе безопасности |
| КРЫСАХ из Защищенного Программные решения | Сканы C, C + +, Perl, PHP и Python исходный код для потенциальных уязвимостей безопасности. |
| ITS4 из Cigital | Сканирование исходного кода ищет потенциально уязвимой функции телефонных разговоров и заготовок исходного кода анализ для определения степени риска |
| PScan | Ограниченное проблема сканера C для исходных файлов |
| Boon | Переполнение буфера обнаружения |
| MOPS | MOdelchecking программы по безопасности свойства |
| Cqual | А инструмент для добавления типа квалификаторов С |
| MC | Мета-уровень обобщения |
| SLAM | Microsoft |
| ESC/Java2 | Расширенный Статические Проверка версии Java 2 |
| Шин | Безопасному программированию Линта |
| МОПЕДА | Модель-Checker для Pushdown систем |
| JCAVE | JavaCard Applet контролю окружающей среды |
| В Boop Toolkit | Используется абстракции и уточнения определения достижимости программы точек в C программу |
| Доменная | Беркли Lazy Абстракция Программы Контрольной Инструмент |
| Uno | Простые средства для анализа исходного кода |
| ПМД | Сканы Java исходный код и ищет потенциальных проблем |
| C + + тест | Группа испытаний и статического анализа инструмент |
Для получения дополнительной информации относительно исходного кода сканеры, читать исходного кода Сканеры для облегчения кодекса в Linux Journal.
Для получения дополнительной информации о безопасном программировании, прочитайте безопасного программирования для Linux и Unix HOWTO.
Найти исходный код уязвимости в коде с помощью этих книг по безопасному программированию от Amazon.com
 |
Уязвимость управления для чайников
Наши друзья в Qualys предлагает бесплатные копии электронных версией Уязвимость управления для чайников по-техническая Часто задаваемые вопросы читателей. Уязвимость управления для чайников:
|  |
| Вирусов Попробуйте бесплатную проверку на вирус Касперского сегодня. | Анти вредоносных программ Высокие показатели по борьбе с программным обеспечением от вредоносных программ Sunbelt Программное обеспечение |
Последние сообщения блога
- SourceForge против Freshmeat
