安全测试工具
陈能技
2007-12-20
Elfriede Dustin在STP的07年第11期杂志上有一篇关于安全性测试工具的文章:《Gunfight at The OK Button》。
文中列出了安全测试工具的15个要点:
1、针对源代码,测试出任何类型的弱点。
2、针对二进制文件,例如可执行文件,测试出任何类型的弱点。
3、检测实时系统的问题,像死锁检测、异步行为的问题等。
4、对任何类型的补丁创建基线并进行回归测试,防止引入新的弱点。
5、提供一个机制,确保已经过检查、校验的源代码一旦构建成为可执行文件后,没有被更改。
6、帮助测试人员找到可能触发或隐含恶意代码的地方。
7、提供关于二进制文件的信息,例如哪个本地系统对象被创建了。
8、在软件开发周期中的不同阶段都能应用,检查软件的弱点。
9、尽可能小的错误误差。
10、能处理外国语言的源代码,例如外国语言的注释等。
11、平台兼容性,例如Unix、Linux、Windows等。
12、开发语言兼容性,例如C、C++、ADA、Java等。
13、可以处理大容量的源代码或很大的可执行文件,例如上百万行的代码。
14、不改变被测试的软件,不影响代码。
15、产生有用的诊断、预测和度量分析报告。
文中还分类列出了几款分别满足这些不同要点的安全性测试工具
1、分析检查器、内存泄漏检测工具、二进制代码扫描器(Profilers, checkers,memory-leak detection tools,Binary code scanners)
开源的:Valgrind (www.valgrind.org)
商业的:Rational/IBM Purify(www.ibm.com)、
http://samate.nist.gov/index.php/Binary_Code_Scanners
2、应用程序痕迹检查工具(Application footprinting)
UNIX 平台:lsof 、strace、ktrace 、truss
Windows平台:ProcessExplorer
3、模糊测试工具(Fuzz testing tools and techniques (also known as penetration testing))
Peach Fuzzer Framework (http://peachfuzz.sourceforge.net/)
4、静态代码分析工具(Static code analyzers)
开源的:Splint(http://splint.org)
商业的:PRQA(Programming Research)www.programmingresearch.com、
Coverity
分享到:
相关推荐
安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试...
提供无线路由安全检测工具,方便各位网管和网络爱好者,官方站点:蹭网http://www.cswzjs.cn
为了自己方便用易语言写的伪造发件人的邮箱安全测试工具,可以匿名发邮件,伪造发件人发邮件等,用来测试邮件服务器安全,也可作为渗透测试的辅助工具。 易语言可能会被某些杀毒软件误认为病毒,为正常,请放心使用...
安全测试工具AppScan8.0破解工具包
EeSafe网站安全检测工具v1.1(综合版),EeSafe网站安全检测工具是一款网站源码级安全检测软件,能够对PHP架构,JSP架构,ASP架构,ASP.net架构的网站进行安全检测,发现常规性网站源码安全问题,包括SQL注入,跨站...
工具包包含 注入检测工具、SQL数据库弱口令扫描、数据库浏览器、端口扫描工具等 常用测试工具均已打包
EeSafe网站安全检测工具是一款网站源码级安全检测软件,能够对PHP架构,JSP架构,ASP架构,ASP.net架构的网站进行安全检测,发现常规性网站源码安全问题,包括SQL注入,快站脚本,挂马等。检测速度快,结果准确。
IOS安全测试工具
网站安全检测工具有哪些,你知道几个,下面就详细列举下本人知道的一些检测网站安全的工具
IOS安全测试工具、
WEP WPA WPA2 无线路由器安全检测工具软件! lilux系统 图像界面 下载好了就 Q我 450789931 教你怎么用 本软件 1.02G 因为网站只能上传 50M的缘故 如果你下好了 请Q我 450789931 包会
Acunetix是一款专业的Web安全测试工具,可帮助企业识别和解决Web应用程序中的各种漏洞和安全问题。它采用自动化测试技术,为用户提供高效而准确的Web应用程序扫描,能够帮助您查找所有类型的安全问题,包括SQL注入、...
安全测试工具安装和使用指南 安全测试工具安装和使用指南
渗透测试工具集.doc渗透测试工具集.doc渗透测试工具集.doc渗透测试工具集.doc渗透测试工具集.doc渗透测试工具集.doc渗透测试工具集.doc渗透测试工具集.doc
Burp Suit 安全测试工具
该文档是关于安全测试工具appscan的教程,主要介绍了工具的基础安装以及简单的运用,适合刚刚开始研究安全测试工具的学习者使用。
很好呀,我看了呀。
灰盒安全测试工具技术原理简介; 灰盒安全测试工具常见功能; 灰盒安全测试工具优势及不足; 在企业内落地实施建议
SQL注入安全测试工具
安全测试工具AppScan8.0