How can I find security vulnerabilities in my source code? Wie finde ich die Sicherheitslücken in meinem Quellcode?
The original, and still the best, method for finding security vulnerabilities in source code is to read and understand the source code. Das Original, und immer noch die beste Methode für die Suche nach Sicherheitslücken im Quellcode ist zu lesen und zu verstehen, den Quellcode.
Source code security vulnerabilities will vary between languages and platforms. Quellcode Sicherheitslücken variieren zwischen den Sprachen und Plattformen.
Items to look for in C code include: Produkte suchen in C Code enthalten:
| Potential vulnerability Potentiellen Sicherheitslücke | Function calls to examine for vulnerabilities Funktionsaufrufe zu prüfen, für Sicherheitslücken |
|---|---|
| Buffer overflows Pufferüberläufe | gets(), scanf(), sprintf(), strcat(), strcpy() Bekommt (), scanf-Funktionen (), sprintf (), strcat (), strcpy () |
| Format string vulnerabilities Format String Schwachstellen | printf(), fprintf(), vprintf(), snprintf(), vsnprintf(), syslog() Ausgeben printf (), fprintf (), vprintf (), snprintf (), vsnprintf (), syslog () anschauen |
| Race conditions Wettkampfsituationen | access(), chown(), chgrp(), chmod(), mktemp(), tempnam(), tmpfile(), tmpnam() (Zugang), Befehle chown (), chgrp (), chmod (), mktemp (), tempnam (), tmpfile (), tmpnam () |
| Random number acquisition vulnerabilities Zufallszahl Erwerb Sicherheitslücken | rand(), random() Rand (), Random () |
| Shell metacharacter vulnerabilities Shell Metazeichen Sicherheitslücken | exec(), popen(), system() Ausführen (), popen () () |
Automated Source Code Security Vulnerability Scanners Automatisierte Quellcode Sicherheitslücke Scanner
There are intelligent tools available to help you examine large amounts of source code for security vulnerabilities. Es sind intelligente Werkzeuge zur Verfügung, um Ihnen zu helfen prüfen, große Mengen von Quellcode für Sicherheitslücken.
| Tool Werkzeug | Description Beschreibung |
|---|---|
| Flawfinder Flawfinder | Examines source code and reports possible security vulnerabilities Untersucht Quellcode und Berichte mögliche Sicherheitslücken |
| RATS from Secure Software Solutions Ratten von Secure Software Solutions | Scans C, C++, PERL, PHP and Python source code for potential security vulnerabilities. Scans C, C + +, Perl, PHP und Python Quellcode für potenzielle Sicherheitslücken. |
| ITS4 from Cigital ITS4 von Cigital | Scans source code looking for potentially vulnerable function calls and preforms source code analysis to determine the level of risk Scans Quellcode auf der Suche nach potenziell anfällig Funktionsaufrufe und Preforms Quellcode Analyse zur Bestimmung der Höhe des Risikos |
| PScan PScan | A limited problem scanner for C source files Eine begrenzte Problem Scanner für C Quelldateien |
| BOON BOON | Buffer Overrun detectiON Pufferüberlauf detectiON |
| MOPS MOPS | MOdelchecking Programs for Security properties MOdelchecking Programme für Sicherheit Eigenschaften |
| Cqual Cqual | A tool for adding type qualifiers to C Ein Tool zum Hinzufügen von der Art der Qualifikation bis C |
| MC MC | Meta-Level Compilation Meta Ebene Compilation |
| SLAM SLAM | Microsoft |
| ESC/Java2 ESC/Java2 | Extended Static Checking for Java version 2 Extended Static Checking für Java Version 2 |
| Splint Schiene | Secure Programming Lint Secure Programming Lint |
| MOPED MOPED | A Model-Checker for Pushdown Systems Ein Modell - Checker für Pushdown Systems |
| JCAVE JCAVE | JavaCard Applet Verification Environment JavaCard Applet Überprüfung Umwelt |
| The Boop Toolkit Die Boop Toolkit | Utilizes abstraction and refinement to determine the reachability of program points in a C program Nutzt Abstraktion und Verfeinerung, um die Erreichbarkeit des Programms in C-Programm |
| Blast Blast | Berkeley Lazy Abstraction Software Verification Tool Berkeley Lazy Abstraction Software Verification Tool |
| Uno Uno | Simple tool for source code analysis Einfaches Werkzeug für den Quellcode Analyse |
| PMD PMD | Scans Java source code and looks for potential problems Scans Java Quellcode und sucht nach potenziellen Probleme |
| C++ Test C + + Test | Unit testing and static analysis tool Unit Tests und statische Analyse Tool |
For more information regarding source code scanners, read Source Code Scanners for Better Code in the Linux Journal . Für weitere Informationen über Quellcode Scanner, lesen Sie Source Code Scanners für bessere Code im Linux Journal.
For more information regarding secure programming, read the Secure Programming for Linux and Unix HOWTO . Für mehr Informationen über sichere Programmierung, lesen Sie die Secure Programming für Linux und Unix HOWTO.
Find source code vulnerabilities in your code with the help of these books on secure programming from Amazon.com Finden Sie Quellcode Sicherheitslücken in Ihren Code mit Hilfe dieser Bücher über sichere Programmierung von Amazon.com
Bookmark How can I find security vulnerabilities in my source code? Lesezeichen Wie finde ich die Sicherheitslücken in meinem Quellcode?
