0

我参加了一个名为“安全代码”的课程,在我们的下一个作业中,我们应该对一些 C 文件和一个 JavaEE Web 项目进行静态/动态分析。

我检查了“源监视器”并在 C 文件上运行它,但是(除非我不知道如何使用它!)它似乎没有做我想要的。

考虑到这个话题,我很想知道是否有用于检测“不安全”代码的工具,即可能通过缓冲区溢出、SQL 注入、XSS 攻击的代码......所以我想指出哪个函数应该被“升级”(例如 fgets 而不是 get,或者 PreparedStatement 而不是普通的 SQL 语句)

注意:我更喜欢开源软件,可能适用于 Windows(我在 VM 上安装了 Ubuntu,但我不太擅长使用它……我通常花更多的时间来了解如何配置工具而不是运行它们)。

谢谢你的提示!

4

2 回答 2

1

Frama-C 的价值分析是开源的,可用于 Windows 的预编译,用于查找QuickLZ C 库中的这个或Polar SSL中的这个等安全漏洞。

这就是说,您可能会发现仅仅为了一个学校作业而习惯了很多,然后,您是否真的希望在一个学校作业中发现安全漏洞?

于 2012-07-06T20:54:23.287 回答
0

对于JavaEE Web 项目,请使用 Persistence API,您可以使用非 SQL 语句,理论上黑客是不可能的!最好的开源之一是Hibernate。它易于使用且非常灵活。

于 2012-07-06T19:24:05.247 回答