Todo programa é vulnerável a alguma falha!
Vou citar aqui algumas das falhas mais comuns de hoje em dia…
Buffer overflow: gets (), a função scanf (), sprintf (), strcat (), strcpy ()
Formato string vulnerabilidades: printf (), fprintf (), vprintf (), snprintf (), vsnprintf (), o syslog ()
Race conditions: acesso (), chown (), chgrp (), chmod (), o mktemp (), tempnam (), tmpfile (), tmpnam ()
Número aleatório vulnerabilidades aquisição: rand (), random ()
Estas são somente algumas das falhas mais famosas que programadores na hora que estão criando seus programas, cometem, Porem não podemos culpar os programadores até porque todos nós somos humanos, ninguém é perfeito...
vou diser aqui alguns programas de "scan" de vulnerabilidades.
Alguns programas não fazem"scan" a vulnerabilidades de programas feitos por si mesmo ou por outras pessoas, porem tens que encontrar uma vulnerabilidade de tua autoria.. Código Fonte a vulnerabilidades de segurança irá variar entre linguagens e plataformas.
Itens para procurar em C código incluem:
Shell metacharacter vulnerabilidades: exec (), popen (), system ()
ALGUNS DOS PROGRAMAS MAIS UTILIZADOS QUE AJUDAM A DESCOBRIR FALHAS…
Flawfinder 1.27
Este é um programa que analisa o código fonte e relatórios possíveis a deficiências de segurança(falha), ordenadas por nível de risco. É muito útil para encontrar e remover rapidamente, pelo menos, alguns potenciais problemas de segurança antes de um programa amplamente divulgado ao publico.(para Linux)
RATAS da Secure Software Solutions
faz "scan" C, C + +, Perl, PHP e Python o código fonte para potenciais vulnerabilidades de segurança.
ITS4 de Cigital:
faz um scan ao código fonte procurando potencialmente vulneráveis função chamadas e pré código fonte análise para determinar o nível de risco.
PScan: Um pequeno problema scanner para arquivos de origem C. Peak quantification using Statistical Comparative ANalysis
BOON: Buffer Overrun detecção. BOON é uma ferramenta para a saturação do buffer, e automaticamente encontra vulnerabilidades em código fonte C. Saturações de buffer são um dos tipos mais comuns de falhas de segurança.
MOPS: Programas de Segurança MOdelchecking propriedades. MOPS é uma ferramenta para encontrar bugs de segurança e de programas em C para verificar a conformidade com as regras de programação defensiva.
Cqual: Uma ferramenta para a inclusão de tipo qualificativas para C. cqual digitado é baseado em uma ferramenta de análise para encontrar bugs em programas C.
MC: Meta-Nível Compilação
SLAM: Microsoft
ESC/Java2: Extensão Static. Verificado para Java
Splint: Programação Segura Lint. Splint é uma ferramenta para verificar estaticamente programas C de vulnerabilidades de segurança e codificação erros.
Ciclomotor: Um Modelo-Verificador de Pushdown Sistemas
JCAVE: JavaCard applet Verificação Ambiente
Toolkit Boop: Utiliza captação e requinte para determinar a acessibilidade de pontos no programa um programa C . É uma ferramenta baseada no modelo verificando os algoritmos do SLAM toolkit para um subconjunto da linguagem de programação Externas C .
Blast: Berkeley Software Lazy Abstraction Verificação Ferramenta
Uno: Simples ferramenta para análise de código fonte
PMD: Scans ao Java de código fonte e olha para os potenciais problemas
C + + Teste: Unidade de ensaio e ferramenta de análise estática
Cumprimentos,
Pirata Da Faja
Sem comentários:
Enviar um comentário