工具源代码审计
简单记一下,很多工具都是收费的,资料很少,今天安全开发生命周期学了一半存草稿了,明儿总结完一起发吧
最近都是偏理论的一些安全知识了,有一丶丶枯燥啦
Fortify 漏洞审计分析
主页面包含的信息
分级报告漏洞的信息
漏洞产生的全路径的跟踪信息
漏洞的详细说明
项目的源代码
漏洞推荐修复的方法
根据工具扫描结果分析风险漏洞成因,手工跟踪相关函数及变量,测试漏洞是否可利用、排除误报可能。
通过工具修复建议,手工修复相关漏洞。
Seay源代码审计系统
Seay是一套开源代码审计系统,使用C# 编写,需要.NET2.0以上版本环境才能运行
工具局限性
工具本身存在一定量的误报或者漏报。
扫描结果需要大量人工确定甄别。
如用多种语言开发的软件,则需单独分析。
使用工具缺乏规范化的编码规范。
不能自动收集常见的代码安全问题。
题外话:总是感觉全自动化是未来,进了IT行业还是需要有编程技术啊,要不然很容易被淘汰,最近对红队渗透测试比较感兴趣,但是岗位很少,也没有什么招实习的,要求蛮高,都是会py,能写poc,会代码审计