Amaliy ish 1 Mavzu: Loyixaviy takliflar va jamoalar. Biznes ilovalarni ulashish buyicha misollar. Ishdan maqsad: topshiriq


RATS - Xavfsizlik uchun qo'pol audit vositasi



Download 2,24 Mb.
bet67/89
Sana11.04.2022
Hajmi2,24 Mb.
#542710
1   ...   63   64   65   66   67   68   69   70   ...   89
Bog'liq
Dasturiy injiniringga kirish

    Bu sahifa navigatsiya:
  • Yasca

RATS - Xavfsizlik uchun qo'pol audit vositasi


Veb-sayt: www.securesoftware.com
Litsenziya: GNU GPL
Platforma: Unix, Windows
Tillar: C++, PHP, Python, Ruby
Xato xato - janjal. Dasturchilarning ba'zi kamchiliklari
tanqidiy emas va faqat dasturning beqarorligi bilan tahdid qiladi. Boshqalar, aksincha,
qobiq kodini kiritish va pultda ixtiyoriy buyruqlarni bajarish imkonini beradi
server. Kodda buferni bajarishga imkon beruvchi buyruqlar alohida xavf tug'diradi
toshib ketish va shunga o'xshash boshqa turdagi hujumlar. C / C ++ da bunday buyruqlar juda ko'p
bular satrlar bilan ishlash funksiyalari (xstrcpy(), strcat(), gets(), sprintf(),
printf(), snprintf(), syslog()), tizim buyruqlari (access(), chown(), chgrp(),
chmod(), tmpfile(), tmpnam(), tempnam(), mktemp()), shuningdek tizim buyruqlari
qo'ng'iroqlar (exec(), system(), popen()). Barcha kodlarni qo'lda tekshiring (ayniqsa,
agar u bir necha ming qatordan iborat bo'lsa) juda zerikarli. Bu siz qila olasiz degani
tekshirilmagan parametrlarning ba'zi funksiyalarining o'tishini e'tiborsiz qoldirish oson.
Maxsus audit vositalari vazifani sezilarli darajada osonlashtirishi mumkin, shu jumladan
mashhur yordamchi dastur kalamush (Xavfsizlik uchun qo'pol audit vositasi) dan
taniqli Fortify kompaniyasi. Bu nafaqat kodni qayta ishlash bilan muvaffaqiyatli shug'ullanadi,
C / C ++ da yozilgan, lekin Perl, PHP va Python skriptlarini ham qayta ishlay oladi.
Yordamchi ma'lumotlar bazasi muammoning batafsil tavsifi bilan ta'sirchan tanlovni o'z ichiga oladi
koddagi joylar. Analizator yordamida u o'ziga oziqlangan xom ashyoni qayta ishlaydi va
xatolarni aniqlashga harakat qiladi, shundan so'ng topilgan nuqsonlar haqida ma'lumot beradi.
kalamush Windows va *nix tizimlarida buyruq satri orqali ishlaydi.

Yasca


Veb-sayt: www.yasca.org
Litsenziya: Ochiq manba
Platforma: Unix, Windows
Tillar: C++, Java, .NET, ASP, Perl, PHP, Python va boshqalar.
Yasca xuddi RATS-ni o'rnatish shart emas, lekin unda yo'q
faqat konsol interfeysi, balki oddiy GUI. Ishlab chiquvchilar tavsiya qiladilar
yordamchi dasturni konsol orqali boshqaring - deyishadi, shuning uchun ko'proq imkoniyatlar mavjud. Nimasi qiziq
Yasca dvigateli PHP 5.2.5 da yozilgan va tarjimon (eng qisqartirilgan holda)
variant) dastur bilan arxivning pastki papkalaridan birida joylashgan. Butun dastur mantiqiy
front-end, skanerlash plaginlari to'plami, hisobot generatori va
dvigatelning o'zi, bu esa barcha viteslarni birgalikda aylantiradi. Plaginlar
plaginlar katalogiga tashlangan - siz qo'shimcha o'rnatishingiz kerak
qo'shimchalar. Muhim nuqta! U bilan birga kelgan uchta standart plaginlar
Yasca, yomon qaramliklarga ega. Java-ni skanerlaydigan JLint
.class fayllari, resurs/yordamchi katalogdagi jlint.exe faylini talab qiladi. Ikkinchi
plagin - antiC, Java va C/C++ turlarini tahlil qilish uchun ishlatiladi, antic.exe faylini talab qiladi
xuddi shu katalogda. Va Java kodini qayta ishlaydigan PMD ishlashi uchun sizga kerak bo'ladi
Tizimda Java JRE 1.4 yoki undan yuqori versiyalari oʻrnatilgan. To'g'ri o'rnatishni tekshiring
"yasca ./resources/test/" buyrug'ini kiritishingiz mumkin. Skanerlash nimaga o'xshaydi?
Dasturga kiritilgan turlarni qayta ishlagandan so'ng, Yasca kabi natija beradi
maxsus hisobot. Masalan, standart GREP plaginlaridan biri ruxsat beradi
.grep fayllarida tasvirlangan naqshlardan foydalanib, zaif konstruksiyalarni ko'rsating va
bir qator zaifliklarni aniqlash oson. Bunday naqshlar to'plami allaqachon kiritilgan
dastur: zaif shifrlashni qidirish, "parol kirishga teng" bo'yicha avtorizatsiya,
mumkin bo'lgan SQL in'ektsiyalari va boshqalar. Hisobotda qachon ko'rishni xohlaysiz
Batafsil ma'lumot olish uchun qo'shimcha plaginlarni o'rnatishingiz mumkin. Nima
bitta narsa shundaki, ularning yordami bilan siz kodni qo'shimcha ravishda skanerlashingiz mumkin
.NET (VB.NET, C#, ASP.NET), PHP, ColdFusion, COBOL, HTML, JavaScript, CSS,
Visual Basic, ASP, Python, Perl.

Download 2,24 Mb.

Do'stlaringiz bilan baham:
1   ...   63   64   65   66   67   68   69   70   ...   89



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling
kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha

yuklab olish