Come faccio a trovare vulnerabilità di sicurezza nel mio codice sorgente?

L'originale, e ancora il migliore, il metodo per trovare vulnerabilità di sicurezza nel codice sorgente è di leggere e comprendere il codice sorgente.

Il codice sorgente vulnerabilità di sicurezza variano tra le lingue e le piattaforme.

Oggetti da cercare nel codice C comprende:

Potenziale vulnerabilità	Funzione chiamate ad esaminare le vulnerabilità
Buffer overflow	si (), scanf (), sprintf (), strcat (), strcpy ()
Vulnerabilità format string	printf (), fprintf (), vprintf (), snprintf (), vsnprintf (), syslog ()
Race condizioni	l'accesso (), chown (), chgrp (), chmod (), mktemp (), tempnam (), tmpfile (), tmpnam ()
Numero casuale acquisizione vulnerabilità	rand (), casuale ()
Shell metacarattere vulnerabilità	exec (), popen (), sistema ()

Automatizzato di codice sorgente a causa di una vulnerabilità di sicurezza Scanner

Ci sono intelligenti strumenti disponibili per aiutarvi a esaminare grandi quantità di codice sorgente di vulnerabilità della sicurezza.

Strumento	Descrizione
Flawfinder	Esamina il codice sorgente e le relazioni possibili vulnerabilità di sicurezza
RATS da Secure Software Solutions	Scansioni C, C + +, Perl, PHP e Python il codice sorgente per i potenziali vulnerabilità di sicurezza.
ITS4 da Cigital	Scansioni alla ricerca di codice sorgente potenzialmente vulnerabili chiamate di funzione e preforme codice sorgente analisi per determinare il livello di rischio
PScan	Un problema limitato scanner per i file sorgente C
Boon	Sovraccarico del buffer di rilevamento
MOPS	Programmi per la Sicurezza MOdelchecking proprietà
Cqual	Uno strumento per l'aggiunta di tipo C di qualificazione a
MC	Meta-Livello di compilazione
SLAM	Microsoft
ESC/Java2	Estensione statico Controllo per Java versione 2
Stecca	Programmazione sicura Lint
Ciclomotore	A Model-Checker Pushdown per Sistemi
JCAVE	JavaCard Applet Verifica Ambiente
Il Toolkit Boop	Utilizza l'astrazione e la raffinatezza di determinare la raggiungibilità dei punti del programma in un programma in C
Blast	Berkeley Lazy Abstraction Software Strumento di verifica
Uno	Semplice strumento per l'analisi del codice sorgente
PMD	Scansioni Java e guarda il codice sorgente per i potenziali problemi
C + + Test	Unità di prova e di strumento di analisi statica

Per ulteriori informazioni riguardanti il codice sorgente scanner, leggere il codice sorgente per Scanner Migliore codice nel Linux Journal.

Per ulteriori informazioni riguardanti la programmazione sicura, leggere la programmazione sicura per Linux e Unix HOWTO.

Trova il codice sorgente di vulnerabilità nel codice con l'aiuto di questi libri sulla programmazione sicura da Amazon.com

Vulnerability Management for Dummies

I nostri amici a Qualys offrono copie gratuite della versione elettronica di Vulnerability Management for Dummies di Tech-FAQ lettori.

Vulnerability Management for Dummies:

Spiega il critico necessario per la gestione delle vulnerabilità
Dettagli essenziali migliori pratiche passi di un successo del programma di gestione delle vulnerabilità
Illustra le varie soluzioni di gestione delle vulnerabilità - compresi i vantaggi e gli svantaggi di ogni
Sottolinea la premiata soluzione di gestione delle vulnerabilità QualysGuard
Fornisce un punto dieci lista di controllo per rimuovere le vulnerabilità da la chiave di risorse

Bookmark Come faccio a trovare vulnerabilità di sicurezza nel mio codice sorgente?

Virus Scan

Prova una scansione dei virus in libera Kaspersky oggi.

Anti Malware

Alte prestazioni di software Anti-Malware da Sunbelt Software

Ultimi post sul blog

Windows 7 Forum

Boston College: Possibilità di utilizzare una riga di comando è un segno di attività criminale

Google Hacked?

Riciclare il vostro vecchio telefono - Portare un po 'di soldi, e salvare l'ambiente troppo!

SourceForge vs Freshmeat

Il più veloce browser Web: Google Chrome

Nuova Webmaster Forum

Ubuntu Security Tools

I terroristi Vai Hi-Tech

Come secco uno Cell Phone That's Vieni a contatto con l'acqua