¿Cómo puedo encontrar vulnerabilidades de seguridad en mi código fuente?
El original, y sigue siendo el mejor de los casos, el método para encontrar vulnerabilidades de seguridad en el código fuente es de leer y entender el código fuente.
Vulnerabilidades de seguridad de código fuente puede variar entre las lenguas y las plataformas.
Elementos para buscar el código en C incluyen:
| Vulnerabilidad potencial | Llamadas a funciones para examinar vulnerabilidades |
|---|---|
| Desbordamiento de búfer | gets (), scanf (), sprintf (), strcat (), strcpy () |
| Vulnerabilidades de formato de cadena | printf (), fprintf (), vprintf (), snprintf (), vsnprintf (), syslog () |
| Condiciones de carrera | acceso (), chown (), chgrp (), chmod (), mktemp (), tempnam (), tmpfile (), tmpnam () |
| Número aleatorio adquisición vulnerabilidades | rand (), aleatorio () |
| Shell metacarácter vulnerabilidades | exec (), popen (), system () |
Automatizado de código fuente Escáneres de Vulnerabilidad de Seguridad
Hay disponibles herramientas inteligentes para ayudarle a examinar grandes cantidades de código fuente de vulnerabilidades de seguridad.
| Herramienta | Descripción |
|---|---|
| Flawfinder | Examina el código fuente y los informes posibles vulnerabilidades de seguridad |
| RATAS segura de Soluciones de Software | Analiza C, C + +, Perl, PHP y código fuente de Python para los posibles vulnerabilidades de seguridad. |
| ITS4 de Cigital | Analiza el código fuente en busca de llamadas a funciones potencialmente vulnerables y preformas de análisis de código fuente para determinar el nivel de riesgo |
| Pscan | Un problema limitado escáner para archivos de código fuente C |
| BOON | Detección de desbordamiento de búfer |
| MOPS | Programas para la Seguridad MOdelchecking propiedades |
| Cqual | Una herramienta para añadir calificativos al tipo C |
| MC | Meta-Nivel Compilación |
| SLAM | Microsoft |
| ESC/Java2 | Los cheques ampliada versión de Java 2 |
| Férula | Programación Segura Lint |
| MOPED | Un modelo-Comprobador de Sistemas Pushdown |
| JCAVE | JavaCard Applet de Verificación de Medio Ambiente |
| El Instrumental Boop | Utiliza la abstracción y el refinamiento para determinar la accesibilidad de los puntos del programa en un programa C |
| Explosión | Berkeley perezosos de abstracción de software Herramienta de verificación |
| Uno | Herramienta simple para análisis de código fuente |
| PMD | Analiza el código fuente de Java y busca posibles problemas |
| C + + Test | Unidad de prueba y herramienta de análisis |
Para obtener más información sobre los escáneres de código fuente, leer el código fuente para una mejor Escáneres de Código en el Linux Journal.
Para obtener más información sobre la programación segura, lea el seguro de programación para Linux y Unix HOWTO.
Encontrar vulnerabilidades en el código fuente de su código con la ayuda de estos libros sobre programación segura en Amazon.com
 |
La vulnerabilidad de Gestión for Dummies
Nuestros amigos en Qualys están ofreciendo copias gratuitas de la versión electrónica de la vulnerabilidad de Gestión for Dummies a Tech-FAQ lectores. La vulnerabilidad de Gestión for Dummies:
|  |
| Exploración de virus Intente una búsqueda de virus libre en Kaspersky hoy. | Lucha contra el Malware De alto rendimiento de software Anti-Malware de Sunbelt Software |
