0

私は「セキュア コード」という名前のクラスを受講しました。次の課題では、いくつかの C ファイルと JavaEE Web プロジェクトの静的/動的分析を行うことになっています。

"Source Monitor" をチェックアウトして C ファイルで実行しましたが、(使い方がわからない場合を除きます!) 探していることを実行していないようです。

このトピックを考えると、「安全でない」コード、つまりバッファ オーバーフロー、SQL インジェクション、XSS によって攻撃される可能性のあるコードを検出するためのツールがあるかどうかを知りたいと思います。関数は「アップグレード」する必要があります (たとえば、gets の代わりに fgets、または通常の SQL ステートメントの代わりに PreparedStatement)。

注:おそらくWindows用のオープンソースソフトウェアを好みます(VMにUbuntuがありますが、あまり得意ではありません...通常、ツールを実行するよりも、ツールを構成する方法を見つけることに多くの時間を費やしています)。

ヒントをありがとう!

4

2 に答える 2

1

Frama-C の価値分析はオープンソースであり、Windows 用に事前にコンパイルされており、QuickLZ C ライブラリのこのようなセキュリティ バグやPolar SSLのこのようなセキュリティ バグを見つけるために使用されました。

とはいえ、学校の課題だけに慣れるのは大変だと思うかもしれませんが、実際に学校の課題でセキュリティ バグを見つけることが期待されているのでしょうか?

于 2012-07-06T20:54:23.287 に答える
0

JavaEE Web Projectでは Persistence API を使用し、ハッキングが理論的に不可能な非 SQL ステートメントを使用できます。最高のオープン ソースはHibernateです。使いやすく、非常に柔軟です。

于 2012-07-06T19:24:05.247 に答える