源代码审计之——工具源代码审计

web渗透测试与代码审计 同时被 2 个专栏收录
113 篇文章 12 订阅
3 篇文章 0 订阅

工具源代码审计

简单记一下,很多工具都是收费的,资料很少,今天安全开发生命周期学了一半存草稿了,明儿总结完一起发吧
最近都是偏理论的一些安全知识了,有一丶丶枯燥啦

Fortify 漏洞审计分析

主页面包含的信息
分级报告漏洞的信息
漏洞产生的全路径的跟踪信息
漏洞的详细说明
项目的源代码
漏洞推荐修复的方法

根据工具扫描结果分析风险漏洞成因,手工跟踪相关函数及变量,测试漏洞是否可利用、排除误报可能。
通过工具修复建议,手工修复相关漏洞。

Seay源代码审计系统

Seay是一套开源代码审计系统,使用C# 编写,需要.NET2.0以上版本环境才能运行

工具局限性

工具本身存在一定量的误报或者漏报。
扫描结果需要大量人工确定甄别。
如用多种语言开发的软件,则需单独分析。
使用工具缺乏规范化的编码规范。
不能自动收集常见的代码安全问题。

题外话:总是感觉全自动化是未来,进了IT行业还是需要有编程技术啊,要不然很容易被淘汰,最近对红队渗透测试比较感兴趣,但是岗位很少,也没有什么招实习的,要求蛮高,都是会py,能写poc,会代码审计

  • 0
    点赞
  • 0
    评论
  • 0
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 黑客帝国 设计师:白松林 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值