Como posso encontrar vulnerabilidades de segurança no meu código fonte?

O original, e continua a ser o melhor, método para encontrar vulnerabilidades de segurança em código-fonte é para ler e entender o código fonte.

Código Fonte vulnerabilidades de segurança irá variar entre linguagens e plataformas.

Itens para procurar em C código incluem:

Potencial vulnerabilidade Funções de chamadas a examinar para vulnerabilidades
Buffer overflow gets (), a função scanf (), sprintf (), strcat (), strcpy ()
Formato string vulnerabilidades printf (), fprintf (), vprintf (), snprintf (), vsnprintf (), o syslog ()
Race conditions acesso (), chown (), chgrp (), chmod (), o mktemp (), tempnam (), tmpfile (), tmpnam ()
Número aleatório vulnerabilidades aquisição rand (), random ()
Shell metacharacter vulnerabilidades exec (), popen (), system ()


Automatizado Código Fonte vulnerabilidade Digitalizadoras

Há inteligentes ferramentas disponíveis para ajudá-lo a examinar uma grande quantidade de código fonte para vulnerabilidades de segurança.

Ferramenta Descrição
Flawfinder Analisa o código fonte e relatórios possíveis vulnerabilidades de segurança
RATAS da Secure Software Solutions Escaneia C, C + +, Perl, PHP e Python o código fonte para potenciais vulnerabilidades de segurança.
ITS4 de Cigital Escaneia código fonte procurando potencialmente vulneráveis função chamadas e pré código fonte análise para determinar o nível de risco
PScan Um pequeno problema scanner para arquivos de origem C
BOON Buffer Overrun detecção
MOPS Programas de Segurança MOdelchecking propriedades
Cqual Uma ferramenta para a inclusão de tipo qualificatórias para C
MC Meta-Nível Compilação
SLAM Microsoft
ESC/Java2 Extensão Static Verificado para Java versão 2
Splint Programação Segura Lint
Ciclomotor Um Modelo-Verificador de Pushdown Sistemas
JCAVE JavaCard applet Verificação Ambiente
O Toolkit Boop Utiliza captação e requinte para determinar a acessibilidade de pontos no programa um programa C
Blast Berkeley Software Lazy Abstraction Verificação Ferramenta
Uno Simples ferramenta para análise de código fonte
PMD Scans Java de código fonte e olha para os potenciais problemas
C + + Teste Unidade de ensaio e ferramenta de análise estática

Para obter mais informações sobre o código fonte scanners, leia Source Code Scanners para Melhor Código no Linux Journal.

Para obter mais informações sobre programação, leia o Seguro de programação para Linux e Unix HOWTO.

Writing Secure Code Building Secure Software Secure Coding Secure Programming Cookbook
Encontrar código fonte vulnerabilidades no seu código com a ajuda destes livros sobre programação segura de Amazon.com


Top 5 Free Networking Ferramentas

Vulnerability Management for Dummies

Nossos amigos em Qualys estão oferecendo gratuitamente cópias da versão eletrônica da Vulnerabilidade de Gestão para a Dummies Tech-FAQ leitores.

Gestão de vulnerabilidade para Dummies:

  • Explica a necessidade de uma vulnerabilidade crítica de gestão
  • Detalhes dos passos essenciais de boas práticas de gestão de um bem sucedido programa vulnerabilidade
  • Outlines vulnerabilidade das diversas soluções de gestão - incluindo as vantagens e desvantagens de cada
  • Destaques da premiada solução de gestão de vulnerabilidade QualysGuard
  • Fornece uma lista de dez pontos eliminando vulnerabilidades de seus recursos-chave
Bookmark Como posso encontrar vulnerabilidades de segurança no meu código fonte?
Virus Scan
Experimente gratuitamente um antivírus Kaspersky no hoje.
Anti Malware
Alto desempenho Anti-Malware software da Sunbelt Software

Latest Blog Posts


Inglês Inglês Alemão Alemão Espanhol Espanhol Francês Francês Italiano Italiano Português Português Russo Russo Holandês Holandês
Grego Grego Hindi Hindi Japonês Japonês Coreano Coreano Chinês Chinês Chinês (simplificado) Chinês (simplificado) Árabe Árabe

Copyright 2009 Tech-FAQ. Todos os direitos reservados. Política de Privacidade.