Todo programa é vulnerável a alguma falha!
Vou citar aqui algumas das falhas mais comuns e bestas de hoje em dia…
Buffer overflow: gets (), a função scanf (), sprintf (), strcat (), strcpy ()
Formato string vulnerabilidades: printf (), fprintf (), vprintf (), snprintf (), vsnprintf (), o syslog ()
Race conditions: acesso (), chown (), chgrp (), chmod (), o mktemp (), tempnam (), tmpfile (), tmpnam ()
Número aleatório vulnerabilidades aquisição: rand (), random ()
Essas são somente algumas das falhas mais famosas que programadores na hora que estão criando seus programas, cometem, Porem não podemos culpar os programadores até porque todos nós somos humanos, logo, Somos errôneos.
Citarei aqui alguns programas de escaneamento de vulnerabilidades.
Alguns programas não escanneiam vulnerabilidades de programas feitos por você mesmo ou por outras pessoas, porem você quer encontrar uma vulnerabilidade de sua autoria.. Código Fonte vulnerabilidades de segurança irá varia entre linguagens e plataformas.
Itens para procurar em C código incluem:
Shell metacharacter vulnerabilidades: exec (), popen (), system ()
ALGUNS DOS PROGRAMAS MAIS UTILIZADOS QUE AJUDAM A DESCOBRIR FALHAS…
Este é um programa que analisa o codigo fonte e relatorios possiveis deficiencias de segurança(falha), ordenadas por nivel de risco. É muito util para encontrar e remover rapidamente, pelo menos, alguns potenciais problemas de segurança antes de um programa amplamente divulgado ao publico.(para linux)
RATAS da Secure Software Solutions
Escaneia C, C + +, Perl, PHP e Python o código fonte para potenciais vulnerabilidades de segurança.
ITS4 de Cigital:
Escaneia código fonte procurando potencialmente vulneráveis função chamadas e pré código fonte análise para determinar o nível de risco.
PScan: Um pequeno problema scanner para arquivos de origem C. Peak quantification using Statistical Comparative ANalysis
BOON: Buffer Overrun detecção. BOON é uma ferramenta para a saturação do buffer, e automaticamente encontrar vulnerabilidades em código fonte C. Saturações de buffer são um dos tipos mais comuns de falhas de segurança.
MOPS: Programas de Segurança MOdelchecking propriedades. MOPS é uma ferramenta para encontrar bugs de segurança e de programas em C para verificar a conformidade com as regras de programação defensiva.
Cqual: Uma ferramenta para a inclusão de tipo qualificatórias para C. cqual digitado é baseado em uma ferramenta de análise para encontrar bugs em programas C.
MC: Meta-Nível Compilação
SLAM: Microsoft
ESC/Java2: Extensão Static. Verificado para Java
Splint: Programação Segura Lint. Splint é uma ferramenta para verificar estaticamente programas C de vulnerabilidades de segurança e codificação erros.
Ciclomotor: Um Modelo-Verificador de Pushdown Sistemas
JCAVE: JavaCard applet Verificação Ambiente
Toolkit Boop: Utiliza captação e requinte para determinar a acessibilidade de pontos no programa um programa C . É uma ferramenta baseada no modelo verificando os algoritmos do SLAM toolkit para um subconjunto da linguagem de programação Externas C .
Blast: Berkeley Software Lazy Abstraction Verificação Ferramenta
Uno: Simples ferramenta para análise de código fonte
PMD: Scans Java de código fonte e olha para os potenciais problemas
C + + Teste: Unidade de ensaio e ferramenta de análise estática
Vou citar aqui algumas das falhas mais comuns e bestas de hoje em dia…
Buffer overflow: gets (), a função scanf (), sprintf (), strcat (), strcpy ()
Formato string vulnerabilidades: printf (), fprintf (), vprintf (), snprintf (), vsnprintf (), o syslog ()
Race conditions: acesso (), chown (), chgrp (), chmod (), o mktemp (), tempnam (), tmpfile (), tmpnam ()
Número aleatório vulnerabilidades aquisição: rand (), random ()
Essas são somente algumas das falhas mais famosas que programadores na hora que estão criando seus programas, cometem, Porem não podemos culpar os programadores até porque todos nós somos humanos, logo, Somos errôneos.
Citarei aqui alguns programas de escaneamento de vulnerabilidades.
Alguns programas não escanneiam vulnerabilidades de programas feitos por você mesmo ou por outras pessoas, porem você quer encontrar uma vulnerabilidade de sua autoria.. Código Fonte vulnerabilidades de segurança irá varia entre linguagens e plataformas.
Itens para procurar em C código incluem:
Shell metacharacter vulnerabilidades: exec (), popen (), system ()
ALGUNS DOS PROGRAMAS MAIS UTILIZADOS QUE AJUDAM A DESCOBRIR FALHAS…
Este é um programa que analisa o codigo fonte e relatorios possiveis deficiencias de segurança(falha), ordenadas por nivel de risco. É muito util para encontrar e remover rapidamente, pelo menos, alguns potenciais problemas de segurança antes de um programa amplamente divulgado ao publico.(para linux)
RATAS da Secure Software Solutions
Escaneia C, C + +, Perl, PHP e Python o código fonte para potenciais vulnerabilidades de segurança.
ITS4 de Cigital:
Escaneia código fonte procurando potencialmente vulneráveis função chamadas e pré código fonte análise para determinar o nível de risco.
PScan: Um pequeno problema scanner para arquivos de origem C. Peak quantification using Statistical Comparative ANalysis
BOON: Buffer Overrun detecção. BOON é uma ferramenta para a saturação do buffer, e automaticamente encontrar vulnerabilidades em código fonte C. Saturações de buffer são um dos tipos mais comuns de falhas de segurança.
MOPS: Programas de Segurança MOdelchecking propriedades. MOPS é uma ferramenta para encontrar bugs de segurança e de programas em C para verificar a conformidade com as regras de programação defensiva.
Cqual: Uma ferramenta para a inclusão de tipo qualificatórias para C. cqual digitado é baseado em uma ferramenta de análise para encontrar bugs em programas C.
MC: Meta-Nível Compilação
SLAM: Microsoft
ESC/Java2: Extensão Static. Verificado para Java
Splint: Programação Segura Lint. Splint é uma ferramenta para verificar estaticamente programas C de vulnerabilidades de segurança e codificação erros.
Ciclomotor: Um Modelo-Verificador de Pushdown Sistemas
JCAVE: JavaCard applet Verificação Ambiente
Toolkit Boop: Utiliza captação e requinte para determinar a acessibilidade de pontos no programa um programa C . É uma ferramenta baseada no modelo verificando os algoritmos do SLAM toolkit para um subconjunto da linguagem de programação Externas C .
Blast: Berkeley Software Lazy Abstraction Verificação Ferramenta
Uno: Simples ferramenta para análise de código fonte
PMD: Scans Java de código fonte e olha para os potenciais problemas
C + + Teste: Unidade de ensaio e ferramenta de análise estática
0 comentários:
Postar um comentário
ORA VIVA, OLHA TEU COMENTARIO VALE MAIS DO QUE OURO PARA MIM, PRECISO DELE PARA MELHORAR A DISPONIBILIDADE DO BLOG.