Comment puis-je trouver des failles de sécurité dans mon code source?
L'original, et toujours la meilleure méthode pour trouver des failles de sécurité dans le code source est à lire et à comprendre le code source.
Source code failles de sécurité varient entre les langues et les plates-formes.
Éléments à rechercher dans le code C comprennent:
| Vulnérabilité potentielle | Appels de fonction pour examiner les vulnérabilités |
|---|---|
| Débordements de tampon | gets (), scanf (), sprintf (), strcat (), strcpy () |
| Format de chaîne | printf (), fprintf (), vprintf (), snprintf (), vsnprintf (), syslog () |
| Conditions de course | accès (), chown (), chgrp (), chmod (), mktemp (), tempnam (), tmpfile (), tmpnam () |
| Nombre aléatoire acquisition vulnérabilités | rand (), Random () |
| Shell metacharacter vulnérabilités | exec (), popen (), system () |
Automatisé de code source de vulnérabilité des scanners de sécurité
Il existe des outils intelligents pour vous aider à examiner de grandes quantités de code source de failles de sécurité.
| Outil | Description |
|---|---|
| Flawfinder | Examine le code source et les rapports possibles failles de sécurité |
| Rats de garantir des solutions logicielles | Scans C, C + +, Perl, PHP et Python code source de potentiel de failles de sécurité. |
| ITS4 de Cigital | Scans de code source pour la recherche potentiellement vulnérables, des appels de fonctions et de préformes analyseur de code source afin de déterminer le niveau de risque |
| Pscan | Un petit problème pour scanner les fichiers source C |
| BOON | Un débordement de tampon de détection |
| MOPS | MOdelchecking Programs propriétés pour la sécurité |
| Cqual | Un outil pour ajouter des qualificatifs de type C |
| MC | Méta-niveau compilation |
| SLAM | Microsoft |
| ESC/Java2 | Vérification statique prolongé pour Java version 2 |
| Attelles | De la programmation sécurisée charpie |
| CYCLOMOTEUR | Un vérificateur de modèle pour les systèmes de Pushdown |
| JCAVE | Applet JavaCard environnement de vérification |
| La boîte à outils Boop | Fait appel à l'abstraction et de raffinement pour déterminer l'accessibilité de program points en C |
| Blast | Berkeley Lazy abstraction outil de vérification du logiciel |
| Uno | Outil simple pour analyseur de code source |
| PMD | Scans de code source Java et de la recherche de problèmes potentiels |
| C + + Test | Les tests unitaires et statique outil d'analyze |
Pour plus d'informations sur les scanners de code source, lire le code source pour une meilleure Scanners Code dans le Linux Journal.
Pour plus d'informations sur la programmation sécurisée, lire le Secure Programming for Unix et Linux HOWTO.
Trouvez le code source des vulnérabilités dans votre code à l'aide de ces livres sur la programmation sécurisée de Amazon.com
 |
Gestion des vulnérabilités pour les nuls
Nos amis sont à Qualys offre gratuitement des copies de la version électronique de gestion des vulnérabilités pour les nuls de Tech-FAQ lecteurs. Vulnerability Management for Dummies:
|  |
| Virus Scan Essayez un scanner à virus Kaspersky aujourd'hui. |
