芄环下:示例一:避免使用管理员权限调用蛘遱示例二:够轻松的支持氲募觳狻С置钚懈袷剑稍诵杏赪和平台。在駽源代码中寻找危险的函数调用。对于某些调用,会加以分析以确图第一章引言纠图卜示例●”Р姗人工安全审计提供一个方便合理的起点。结合了的静态检查技术和的深度语义分析技术检查缓冲区溢出漏洞遵守M琁啾龋琑梢远整个工程代码进行检查,而不是单一文件。同时,还可以检查数组的边界。使用深度语义分析技术自动扫描镅栽创胫写嬖诘幕撼迩绯雎┒础描是基于函数匹配的,不关心上下文。它只是搜索駽源代码中与漏洞数据库相匹配的函数或H绻┒春嬖冢琁岱⒊鼍妫⑾虺绦蛟碧峁┬薷慕ㄒ橛靡提高代码安全性。程序员可以选择危险等级一,从而降低误报率。同时还允许程序员忽略对某个特定函数名的检查,如维护的安全漏洞词典为如下形式:是用于、、蚉代码的安全审计工具。它能够对源代码进行扫描,找出潜在的危险函数调用。该工具的最终目标并不是找出代码漏洞,而是为可以对整数范围进行分析从而确定绦蛑械氖槭欠裨浇纭>」蹷芄找到许多其它分析工具所遗漏的漏洞,但是仍不精确。规则表┒创实函数严重性解决方案最危险使用很危险使用使蛘呤褂镁ǘ人得鞣使用精度说明符或者自己进行解析危险用手工检查来查看目的地大小是否至少与原字符串相等分配缓冲区大小为,同样保证输入参数不超过緉】一,,一,,第一章引言●:甋●“Р.小结以上分析的算法各有侧重,并在现有的检测工具中加以运用,具有一定效果,但其洞并不多,这将直接导致所能维护的规则库有限,并且只能检查某些特定类型的据数据流走向取并集,仍然存在一定程度的误报,且该方法针对缓冲区溢出和整数溢出,实现的功能,局限性还是比较大的。例如会将所有使用的语句报告,认为不安全。这将直接导致误报率过高,影响代码审查的效率和积极性;基于模式的安全漏漏洞;虽然引入了上下文的信息,但是由于没有精确处理控制分支的信息,仅根具有一定的局限性。第一章引言
全文预览
