VisualCodeGrepper实现廉价的代码基本安全问题排查

最新推荐文章于 2024-11-03 19:24:27 发布
最新推荐文章于 2024-11-03 19:24:27 发布
阅读量5.7k 收藏 7
点赞数
分类专栏: 自动化测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Anlegor/article/details/22437885
版权

         虽然对安全测试的原理和黑盒检测方法有所了解,但是白盒的方法去发现软件安全隐患确实让人倒吸一口凉气,但是,总有人了解我们的痛苦,这不VisualCodeGrepper就是这其中的一个便宜工具。

         VCG是一个支持C++, C#,VB, PHP, Java and PL/SQL的自动化代码安全审查工具,如上所说,他能够在资源有限的情况下廉价快速地帮助我们快速找出工程代码中可能的安全问题。

         从”file”中选择工程所在的目录,在”scan”中“scan all”即可。VCG提供详细信息和图表两种展示:结果报告和饼图。

 

饼图主要展示统计数据:

        

         当然VCG还通过另外一种方式提供了更复杂的检查,在VCG安装目录下,针对每种语言,都提供了一个conf文件,这里就是VCG能检测出来可能有安全函数的原因,其他在这里你也可以添加其他可能有安全问题的函数及安全问题描述信息。

         那么有人会说,我怎么知道哪些函数可能有哪些安全性问题呢?其实大部分常见的主要集中在字符串拷贝、合并及有关sprintf的函数,在下面这篇文章中列出来这一部分的问题函数及解决方案http://blog.csdn.net/chengyun_chu/article/details/3127844,当然详细的api列表在http://msdn.microsoft.com/en-us/library/bb288454.aspx可以查阅。如果你还想了解更多“C和C++安全编码(中文版)”这本书可能有益。

        

        

 

从业务层的代码出发,去排查通用框架代码崩溃的问题
dvlinker的技术专栏
08-22 3万+
本文以一个具体的问题实例,讲解如何去排查框架代码中的崩溃问题
【C++软件调试技术】C++软件开发维护过程中典型软件异常问题排查与总结
热门推荐
dvlinker的技术专栏
04-15 8万+
本文以问答的方式进行展开,罗列了C++软件日常开发和维护中遇到的多个软件调试问题及有代表性的场景,给出详细的处置思路和处理办法,以供大家借鉴和参考。
这5个开源和免费静态代码分析工具,你一个都没有用过吗?不会吧
miaozenn的博客
07-10 2254
如果您是软件开发人员或代码安全分析师,则通常需要分析源代码以检测安全漏洞并维护安全的质量代码。但是您的代码中可能存在许多难以手动发现的问题。毕竟,我们仍然是人类,因此即使是最高级的安全分析师也都会错过一些安全漏洞。我们提供了源代码分析工具功能强大的工具,可以快速,自动地检查引擎盖下的所有内容,而无需执行代码,并且成为人眼的完美伴侣。 源代码分析工具也称为静态应用程序安全性测试工具或SAST工具,旨在向开发人员提供有关他们可能在代码中引入的问题的即时反馈,这与在软件开发生命周期中后期查找漏洞相比非常
系统管理Lesson 11. Implementing Oracle Database Auditing
喝醉酒的小白
09-25 4574
系统管理Lesson 11. Implementing Oracle Database Auditing1. Oracle 数据库的哪些活动是可以被审计?2. 12c 支持的审计方式有哪几种?3. 用户账户要具备哪些系统权限才能管理审计活动?4. 什么是 Oracle 数据库的统一审计?5. 如何启动 12c 的统一审计功能?6. 可以配置哪些类型的系统级别的审计?7. 系统所产生的审计线索是如何从 SGA 写入 SYSAUD 审计表的?8. 请解释什么是细粒度审计(FGA)?9. 严格的审计制度是保证数据
VisualCodeGrepper(VCG)-代码审计.zip
05-03
VisualCodeGrepper(VCG)-代码审计.zip
VisualCodeGrepper
软件质量优化
03-18 3968
VisualCodeGrepperhttp://sourceforge.net/projects/visualcodegrepp/files/?source=navbarVCG is an automated code security review tool that handles C/C++, Java, C#, VB and PL/SQL. It has a few features th
java笔试题输出结果-VCG:VisualCodeGrepper-代码安全扫描工具
06-20
java笔试题输出结果
VCG(VisualCodeGrepper)安装使用教程
weixin_33971205的博客
07-26 1155
一、说明 代码审计工具看来还是比较难做,一是开源的代码审计工具少,二是原本的一些开源审计工具很多都不更新甚至不能使用了。 VCG支持审计C++、Java、C#、PHP和VB,但其“审计”基本相当于函数查找,比如如果找到strcpy等可能引起溢出的函数就在报告中列出来,并没有做进一步分析。 总的而言聊胜于无吧,VCG毕竟是少数还能用的开源审计工具之一了。   二、安装使用 2.1 下载 下载地址:h...
根据问题现象、用户操作场景及日志打印去排查C++软件问题,必要时尝试去复现问题
最新发布
dvlinker的技术专栏
11-03 1万+
根据问题现象、用户操作场景及日志打印去排查C++软件问题,必要时尝试去复现问题
使用反汇编工具IDA查看动态库的汇编代码上下文,结合安卓系统生成的Tombstone文件,排查安卓app程序底层C++库的崩溃问题
dvlinker的技术专栏
08-14 3万+
使用IDA反汇编工具查看汇编代码上下文,结合安卓系统自动生成的Tombstone文件,去分析安卓app程序底层C++模块的崩溃问题
使用IDA查看汇编代码上下文去辅助排查C++软件异常问题
dvlinker的技术专栏
02-08 1万+
在部分场景下仅使用Windbg分析还不够,还需要使用IDA工具去查看发生异常的模块的汇编代码上下文,将C++源码与汇编代码结合着看,去找出引发问题的原因。
静态代码分析工具
人无远虑,必有近忧
06-11 756
SAST,即静态应用程序安全测试,通过静态代码分析工具对源代码进行自动化检测,从而快速发现源代码中的安全缺陷。 本文是一个静态源代码分析工具清单,收集了一些免费开源的项目,可从检测效率、支持的编程语言、第三方工具集成等几因素来综合考虑如何选择SAST工具。 1、RIPS 一款不错的静态源代码分析工具,主要用来挖掘PHP程序的漏洞。 项目地址: http://rips-scanner.sourceforge.net 2、SonarQube 一款企业级源代码静态分析工具,支持Java、PHP.
**深入探索VCG:打造代码安全审查新标杆**
gitblog_00062的博客
06-19 335
深入探索VCG:打造代码安全审查新标杆 项目地址:https://gitcode.com/gh_mirrors/vc/VCG 一、项目介绍 在代码安全领域,一款名为**VCG(VisualCodeGrepper)**的自动化工具正逐渐受到开发者的青睐。最新版本VCG v2.3.2不仅支持C/C++、Java、C#、VB、PL/SQL、PHP和COBOL等语言的安全扫描,还新增了对R脚本的支持,并优...
2021-11-16
weixin_42066834的博客
11-16 190
文章内容来自知乎:https://zhuanlan.zhihu.com/p/328863814 这5个开源和免费静态代码分析工具,你一个都没有用过吗? 编程重度爱好者 编程重度爱好者 从事多年C/C++开发工程师,希望文章和回答能对你有用 1 人赞同了该文章 如果您是软件开发人员或代码安全分析师,则通常需要分析源代码以检测安全漏洞并维护安全的质量代码。但是您的代码中可能存在许多难以手动发现的问题。毕竟,我们仍然是人类,因此即使是最高级的安全分析师也都会错过一些安全漏洞。我们提供了源代码分析工具来拯救我们,这
软件安全复习(漏洞分析部分)
kjnsdg的博客
01-12 1674
共同的基本原因:软件在设计、编码、测试和运行阶段,没有发现软件中的各种安全隐患,导致软件的不安全。(1)软件的生产没有严格遵守软件工程流程。(2)大多数系统软件和商业软件结构庞大且复杂,无法持续安全运行(3)编码者没有采用科学的编码方法。(4)测试不到位(不过有时是无法到位)。主要是测试用例的设计无法涵盖尽可能典型的安全问题。错误是指软件实现过程出现的问题,大多数的错误可以很容易发现并修复,如缓冲区溢出、死锁、不安全的系统调用、不完整的输入检测机制和不完善的数据保护措施等;
自动化代码审计工具
weixin_30756499的博客
07-14 3543
三款自动化代码审计工具 0×01 简介 工欲善其事,必先利其器。 在源代码的静态安全审计中,使用自动化工具代替人工漏洞挖掘,可以显著提高审计工作的效率。学会利用自动化代码审计工具,是每一个代码审计人员必备的能力。在学习PHP源代码审计的过程中,本人搜集使用了多款自动化工具。本文将简要介绍其中三款比较实用的工具:RIPS、VCG、Fortify SCA。 RIPS是一款开...
【网络进阶】网络问题排查实例集锦(实战经验分享)
dvlinker的技术专栏
05-08 3万+
本文详细讲述了实际项目中遇到的多个网络问题排查过程,以供参考!
代码审计工具学习之RISP(安装以及初步操作)
weixin_52515588的博客
04-05 9936
1 代码审计 1.1名词解释 代码审计(Code audit)是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目中源代码的全面分析,旨在发现错误,安全漏洞或违反编程约定。 它是防御性编程范例的一个组成部分,它试图在软件发布之前减少错误。 C和C ++源代码是最常见的审计代码,因为许多高级语言(如Python)具有较少的潜在易受攻击的功能(例如,不检查边界的函数)。 顾名思义就是检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过..
VS Code环境配置的一些问题
gly2512213896的博客
07-04 735
昨天因为课设又得用到C++,不想用VS,太大了,好多东西看不懂也用不到,看中了VS Code的清爽小巧,于是想换成VS Code,然后又发现得配置环境,所以上网找教程,结果即便看着教程一步一步配,最终还是调试不了,搞了一下午一晚上,快崩掉了。今天慢慢搞,改掉了一些小错误,总算是搞好了,在这里记录一下一些问题,以方便来者。 首先是我参考的教程:(冒犯请联系,立马删除) VSCode配置 c++ 环境(小白教程) 照着配完之后调试,仍然告诉我出错,后来发现是路径错误,要我去laun...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值