互联网企业安全高级指南读书笔记之代码审计

Posted PolluxAvenger

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了互联网企业安全高级指南读书笔记之代码审计相关的知识,希望对你有一定的参考价值。

以找到未正确过滤数据类型的漏洞为例,定位问题可以简单分为以下几个步骤:

  1. 标注出高危行为入口函数
  2. 标注数据获取来源
  3. 标注数据过滤函数
  4. 回溯调用过程

自动化审计产品

1976 年科罗拉多大学的 Lloyd D.Fosdick 和 Leon J.Osterweil 在 ACM
Computing Surveys 上发表了著名的 Data Flow Analysis in Software Reliability 论文,其中就提到了数据流分析、状态机系统、边界检测、数据类型验证、控制流分析等技术,随着计算机语言的不断演进,代码分析技术也在日趋完善

Coverity

Coverity 支持的语言有 C、C++、Java


以上是关于互联网企业安全高级指南读书笔记之代码审计的主要内容,如果未能解决你的问题,请参考以下文章

互联网企业安全高级指南读书笔记之大规模纵深防御体系设计与实现

互联网企业安全高级指南读书笔记之基础安全措施

互联网企业安全高级指南读书笔记之入侵感知体系

互联网企业安全高级指南读书笔记之网络安全

互联网企业安全高级指南读书笔记之网络安全

互联网企业安全高级指南读书笔记之移动应用安全