Come faccio a trovare vulnerabilità di sicurezza nel mio codice sorgente?
L'originale, e ancora il migliore, il metodo per trovare vulnerabilità di sicurezza nel codice sorgente è di leggere e capire il codice sorgente.
Il codice sorgente vulnerabilità di sicurezza possono variare tra le lingue e le piattaforme.
Oggetti da cercare nel codice C includono:
| Potenziale vulnerabilità | Chiamate di funzione di esaminare le vulnerabilità |
|---|---|
| Buffer overflow | si (), scanf (), sprintf (), strcat (), strcpy () |
| Vulnerabilità format string | printf (), fprintf (), vprintf (), snprintf (), vsnprintf (), syslog () |
| Le condizioni di | accesso (), chown (), chgrp (), chmod (), mktemp (), tempnam (), tmpfile (), tmpnam () |
| Numero casuale acquisizione vulnerabilità | rand (), casuale () |
| Metacarattere vulnerabilità della shell | exec (), popen (), sistema () |
Automatizzato di codice sorgente a causa di una vulnerabilità di sicurezza scanner
Ci sono intelligenti strumenti a disposizione per aiutarvi ad esaminare grandi quantità di codice sorgente di vulnerabilità della sicurezza.
| Strumento | Descrizione |
|---|---|
| Flawfinder | Esamina il codice sorgente e le relazioni possibili vulnerabilità della sicurezza |
| Ratti da garantire soluzioni software | Scansioni C, C + +, Perl, PHP e Python codice sorgente per i potenziali vulnerabilità di sicurezza. |
| ITS4 da Cigital | Scansioni alla ricerca di codice sorgente per potenzialmente vulnerabili chiamate di funzione e preforme codice sorgente di analisi per determinare il livello di rischio |
| PScan | Un problema limitato scanner per i file sorgente C |
| Boon | Sovraccarico del buffer di rilevamento |
| MOPS | MOdelchecking Programmi per la Sicurezza proprietà |
| Cqual | Uno strumento per l'aggiunta di qualificazioni di tipo C |
| MC | Meta-livello di compilazione |
| SLAM | Microsoft |
| ESC/Java2 | Controllo statico esteso per Java versione 2 |
| Stecca | Garantire la programmazione Lint |
| MOPED | Un modello-checker per i sistemi di Pushdown |
| JCAVE | JavaCard applet di verifica in materia di ambiente |
| Il toolkit Boop | Utilizza l'estrazione e la raffinatezza di determinare la raggiungibilità dei punti del programma in un programma in C |
| Blast | Berkeley Lazy astrazione strumento di verifica del software |
| Uno | Semplice strumento per l'analisi del codice sorgente |
| PMD | Scansioni Java codice sorgente e la ricerca di potenziali problemi |
| C + + di prova | Unità di prova e di strumento di analisi statica |
Per ulteriori informazioni riguardanti il codice sorgente scanner, leggere Source Code Scanner per migliorare il codice in su Linux Journal.
Per ulteriori informazioni riguardanti la programmazione sicura, leggere la programmazione sicura per Linux e Unix HOWTO.
Trova il codice sorgente di vulnerabilità nel codice con l'aiuto di questi libri sulla programmazione sicura da Amazon.com
 |
Gestione delle vulnerabilità per i manichini
I nostri amici a Qualys offrono copie gratuite della versione elettronica di gestione delle vulnerabilità per i fittizio di Tech-FAQ lettori. Gestione delle vulnerabilità per i fittizio:
|  |
| Virus Scan Prova gratuitamente la scansione antivirus di Kaspersky a oggi. |
