我如何才能找到安全漏洞的源代碼?
原來,仍然是最好的,調查方法中的安全漏洞的源代碼是閱讀和理解源代碼。
源代碼的安全漏洞,將各不相同的語言和平台。
項目尋找在C代碼包括:
| 潛在的弱點 | 函數調用審查漏洞 |
|---|---|
| 緩衝區溢出 | 會( ) , scanf ( ) , sprintf ( ) , strcat ( ) , strcpy ( ) |
| 格式字符串漏洞 | 輸出( ) , fprintf ( ) , vprintf ( ) , snprintf ( ) , vsnprintf ( ) , syslog ( )函數 |
| 競爭條件 | 訪問( ) ,權限( ) , chgrp ( ) ,搭配chmod ( ) , mktemp ( ) , tempnam ( ) tmpfile ( ) , tmpnam ( ) |
| 隨機數收購漏洞 | 蘭特( ) ,隨機( ) |
| 殼牌元字符漏洞 | 為exec ( ) , popen ( ) ,系統( ) |
自動化的源代碼安全漏洞掃描儀
有智能工具可幫助您檢查了大量的源代碼的安全漏洞。
| 工具 | 描述 |
|---|---|
| Flawfinder | 檢查源代碼和報告可能的安全漏洞 |
| 老鼠安全的軟件解決方案 | 掃描的C , C + + , Perl , PHP和的Python源代碼的潛在安全漏洞。 |
| ITS4從Cigital | 掃描源代碼,尋找潛在的脆弱的函數調用和瓶坯源代碼分析,以確定風險的級別 |
| PScan | 有限的問題掃描器的C源文件 |
| 文 | 緩衝區溢出檢測 |
| 拖把 | MOdelchecking程序的安全屬性 |
| Cqual | 工具添加到C型預選賽 |
| 三菱商事 | 元級編譯 |
| 斯拉姆 | 微軟 |
| ESC/Java2 | 擴展靜態檢查的Java版本2 |
| 夾板 | 安全編程林特 |
| 輕便摩托車 | 模型檢查下推系統 |
| JCAVE | Java卡Applet的驗證環境 |
| 工具包的貝蒂 | 採用抽象和完善,以確定可達程序分在C程序 |
| 稻瘟病 | 伯克利懶惰抽象軟件驗證工具 |
| 烏諾 | 簡單的工具的源代碼分析 |
| 偏振模色散 | 掃描Java源代碼,並尋找潛在的問題 |
| C + +的測試 | 單元測試和靜態分析工具 |
欲了解更多信息有關的源代碼掃描器,讀源代碼掃描儀更好地碼在Linux Journal雜誌 。
欲了解更多信息有關安全編程,請閱讀安全編程Linux和Unix如何 。
尋找源代碼中的漏洞的代碼的幫助下,這些書籍的安全編程Amazon.com的
 |
漏洞管理傻瓜
我們的朋友在Qualys的是提供免費的副本,電子版的漏洞管理傻瓜以技術問題解答讀者。 漏洞管理傻瓜:
|  |
| 病毒掃描 嘗試免費病毒掃描卡巴斯基今天。 | 反惡意軟件 高性能反惡意軟件的軟件Sunbelt軟件公司 |
