Unconfigured Ad Widget

Collapse

Anúncio

Collapse
No announcement yet.

Como encontrar vulnerabilidade em meus programas

Collapse
X
 
  • Filter
  • Tempo
  • Show
Clear All
new posts

  • Font Size
    #1

    Matéria Como encontrar vulnerabilidade em meus programas

    Todo programa é vulnerável a alguma falha!

    Vou citar aqui algumas das falhas mais comuns e bestas de hoje em dia…

    Buffer overflow: gets (), a função scanf (), sprintf (), strcat (), strcpy ()

    Formato string vulnerabilidades: printf (), fprintf (), vprintf (), snprintf (), vsnprintf (), o syslog ()

    Race conditions: acesso (), chown (), chgrp (), chmod (), o mktemp (), tempnam (), tmpfile (), tmpnam ()

    Número aleatório vulnerabilidades aquisição: rand (), random ()

    Essas são somente algumas das falhas mais famosas que programadores na hora que estão criando seus programas, cometem, Porem não podemos culpar os programadores até porque todos nós somos humanos, logo, Somos errôneos.

    Citarei aqui alguns programas de escaneamento de vulnerabilidades.

    Alguns programas não escanneiam vulnerabilidades de programas feitos por você mesmo ou por outras pessoas, porem você quer encontrar uma vulnerabilidade de sua autoria.. Código Fonte vulnerabilidades de segurança irá varia entre linguagens e plataformas.

    Itens para procurar em C código incluem:

    Shell metacharacter vulnerabilidades: exec (), popen (), system ()

    ALGUNS DOS PROGRAMAS MAIS UTILIZADOS QUE AJUDAM A DESCOBRIR FALHAS…

    Flawfinder 1.27

    Este é um programa que analisa o codigo fonte e relatorios possiveis deficiencias de segurança(falha), ordenadas por nivel de risco. É muito util para encontrar e remover rapidamente, pelo menos, alguns potenciais problemas de segurança antes de um programa amplamente divulgado ao publico.(para linux)

    RATAS da Secure Software Solutions

    Escaneia C, C + +, Perl, PHP e Python o código fonte para potenciais vulnerabilidades de segurança.

    ITS4 de Cigital:

    Escaneia código fonte procurando potencialmente vulneráveis função chamadas e pré código fonte análise para determinar o nível de risco.

    PScan: Um pequeno problema scanner para arquivos de origem C. Peak quantification using Statistical Comparative ANalysis

    BOON: Buffer Overrun detecção. BOON é uma ferramenta para a saturação do buffer, e automaticamente encontrar vulnerabilidades em código fonte C. Saturações de buffer são um dos tipos mais comuns de falhas de segurança.

    MOPS: Programas de Segurança MOdelchecking propriedades. MOPS é uma ferramenta para encontrar bugs de segurança e de programas em C para verificar a conformidade com as regras de programação defensiva.

    Cqual: Uma ferramenta para a inclusão de tipo qualificatórias para C. cqual digitado é baseado em uma ferramenta de análise para encontrar bugs em programas C.

    MC: Meta-Nível Compilação

    SLAM: Microsoft

    ESC/Java2: Extensão Static. Verificado para Java

    Splint: Programação Segura Lint. Splint é uma ferramenta para verificar estaticamente programas C de vulnerabilidades de segurança e codificação erros.

    Ciclomotor:
    Um Modelo-Verificador de Pushdown Sistemas

    JCAVE:
    JavaCard applet Verificação Ambiente

    Toolkit Boop: Utiliza captação e requinte para determinar a acessibilidade de pontos no programa um programa C . É uma ferramenta baseada no modelo verificando os algoritmos do SLAM toolkit para um subconjunto da linguagem de programação Externas C .

    Blast: Berkeley Software Lazy Abstraction Verificação Ferramenta

    Uno: Simples ferramenta para análise de código fonte

    PMD: Scans Java de código fonte e olha para os potenciais problemas

    C + + Teste: Unidade de ensaio e ferramenta de análise estática


    FONTE: tech-faq

    Similar Threads

  • Font Size
    #2
    vlw bhior eu acho que muita gente vai gostar desse topico =)
    -------------------------------------------------------------------------------------------






    Comment


    • Font Size
      #3
      Muito bom Bhior, show de bola.
      Dei uma editada no Titulo básica.

      Valeu, abraço.
      Mesmo longe, eu estou perto. Guia do Hacker 4ever.

      Comment

      X
      Working...
      X