我选了一个名为“安全代码”的类,在我们的下一个任务中,我们应该对一些C文件和JavaEE Web项目进行静态/动态分析。
我检查了“源监视器”并在C文件上运行它,但是(除非我没有得到如何使用它!)它似乎没有做我正在寻找的。
考虑到这个主题,我有兴趣知道是否有用于检测“不安全”代码的工具,即可能通过缓冲区溢出,SQL注入,XSS攻击的代码......所以我希望它能够指出哪些函数应该“升级”(例如fgets而不是gets,或者是PreparedStatement而不是普通的SQL语句)
注意:我更喜欢开源软件,可能适用于Windows(我在虚拟机上安装了Ubuntu,但我对它不是很好......我通常花更多的时间来了解如何配置工具而不是运行它们)
感谢您的提示!
答案 0 :(得分:1)
Frama-C's value analysis是开源的available pre-compiled for Windows,用于查找this one in the QuickLZ C library或this one in Polar SSL等安全漏洞。
这就是说,您可能会发现,只需要完成学校作业就可以了很多,然后再次,您是否真的希望在学校作业中找到安全漏洞?
答案 1 :(得分:0)
对于 JavaEE Web项目使用Persistence API,您可以使用非SQL语句,理论上黑客攻击是不可能的!最好的开源是Hibernate。它易于使用且非常灵活。