工具源代碼審計
簡單記一下,很多工具都是收費的,資料很少,今天安全開發生命週期學了一半存草稿了,明兒總結完一起發吧
最近都是偏理論的一些安全知識了,有一丶丶枯燥啦
Fortify 漏洞審計分析
主頁面包含的信息
分級報告漏洞的信息
漏洞產生的全路徑的跟蹤信息
漏洞的詳細說明
項目的源代碼
漏洞推薦修復的方法
根據工具掃描結果分析風險漏洞成因,手工跟蹤相關函數及變量,測試漏洞是否可利用、排除誤報可能。
通過工具修復建議,手工修複相關漏洞。
Seay源代碼審計系統
Seay是一套開源代碼審計系統,使用C# 編寫,需要.NET2.0以上版本環境才能運行
工具侷限性
工具本身存在一定量的誤報或者漏報。
掃描結果需要大量人工確定甄別。
如用多種語言開發的軟件,則需單獨分析。
使用工具缺乏規範化的編碼規範。
不能自動收集常見的代碼安全問題。
題外話:總是感覺全自動化是未來,進了IT行業還是需要有編程技術啊,要不然很容易被淘汰,最近對紅隊滲透測試比較感興趣,但是崗位很少,也沒有什麼招實習的,要求蠻高,都是會py,能寫poc,會代碼審計