我如何才能找到安全漏洞的源代码?
原来,仍然是最好的,调查方法中的安全漏洞的源代码是阅读和理解源代码。
源代码的安全漏洞,将各不相同的语言和平台。
项目寻找在C代码包括:
| 潜在的弱点 | 函数调用审查漏洞 |
|---|---|
| 缓冲区溢出 | 会( ) , scanf ( ) , sprintf ( ) , strcat ( ) , strcpy ( ) |
| 格式字符串漏洞 | 输出( ) , fprintf ( ) , vprintf ( ) , snprintf ( ) , vsnprintf ( ) , syslog ( )函数 |
| 竞争条件 | 访问( ) ,权限( ) , chgrp ( ) ,搭配chmod ( ) , mktemp ( ) , tempnam ( ) tmpfile ( ) , tmpnam ( ) |
| 随机数收购漏洞 | 兰特( ) ,随机( ) |
| 壳牌元字符漏洞 | 为exec ( ) , popen ( ) ,系统( ) |
自动化的源代码安全漏洞扫描仪
有智能工具可帮助您检查了大量的源代码的安全漏洞。
| 工具 | 描述 |
|---|---|
| Flawfinder | 检查源代码和报告可能的安全漏洞 |
| 老鼠安全的软件解决方案 | 扫描的C , C + + , Perl , PHP和的Python源代码的潜在安全漏洞。 |
| ITS4从Cigital | 扫描源代码,寻找潜在的脆弱的函数调用和瓶坯源代码分析,以确定风险的级别 |
| PScan | 有限的问题扫描器的C源文件 |
| 文 | 缓冲区溢出检测 |
| 拖把 | MOdelchecking程序的安全属性 |
| Cqual | 工具添加到C型预选赛 |
| 三菱商事 | 元级编译 |
| 斯拉姆 | 微软 |
| ESC/Java2 | 扩展静态检查的Java版本2 |
| 夹板 | 安全编程林特 |
| 轻便摩托车 | 模型检查下推系统 |
| JCAVE | Java卡Applet的验证环境 |
| 工具包的贝蒂 | 采用抽象和完善,以确定可达程序分在C程序 |
| 稻瘟病 | 伯克利懒惰抽象软件验证工具 |
| 乌诺 | 简单的工具的源代码分析 |
| 偏振模色散 | 扫描Java源代码,并寻找潜在的问题 |
| C + +的测试 | 单元测试和静态分析工具 |
欲了解更多信息有关的源代码扫描器,读源代码扫描仪更好地码在Linux Journal杂志 。
欲了解更多信息有关安全编程,请阅读安全编程Linux和Unix如何 。
寻找源代码中的漏洞的代码的帮助下,这些书籍的安全编程Amazon.com的
 |
漏洞管理傻瓜
我们的朋友在Qualys的是提供免费的副本,电子版的漏洞管理傻瓜以技术问题解答读者。 漏洞管理傻瓜:
|  |
| 病毒扫描 尝试免费病毒扫描卡巴斯基今天。 | 反恶意软件 高性能反恶意软件的软件Sunbelt软件公司 |
