ITPub博客

首页 > IT基础架构 > 网络安全 > 代码审计工具有哪些?网络安全课程学习

代码审计工具有哪些?网络安全课程学习

原创 网络安全 作者:老男孩IT教育机构 时间:2021-10-14 15:45:59 0 删除 编辑

  代码审计,顾名思义就是检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过自动化工具或者人工审查的方式,对程序源代码逐条进行检查和分析,发现这些源代码缺陷引发的安全漏洞,并提供代码修订措施和建议。那么代码审计工具有哪些?以下为详细的内容介绍。

  在源代码的静态安全审计中,使用自动化工具代替人工漏洞挖掘,可以显著提高审计工作的效率。而且学会利用自动化代码审计工具,是每一个代码审计人员必备的能力。接下来为大家介绍几个代码审计工具:

  第一类:Seay源代码审计系统

  这是基于C#语言开发的一款针对PHP代码安全性审计的系统,主要运行于Windows系统上。这款软件能够发现SQL注入、代码执行、命令执行、文件包含、文件上传、绕过转义防护、拒绝服务、XSS跨站、信息泄露、任意URL跳转等漏洞,基本上覆盖常见的PHP漏洞。在功能上,它支持一键审计、代码调试、函数定位、插件扩展、自定会规则配置、代码高亮、编码调试转换、数据库执行监控等数十项强大功能。

  第二类:Fortify SCA

  Fortify SCA是由惠普研发的一款商业软件产品,针对源代码进行专业的白盒安全审计。当然,它是收费的,而且这种商业软件一般都价格不菲。它有Windows、Linux、Unix以及Mac版本,通过内置的五大主要分析引擎对应用软件的源代码进行静态分析。

  第三类:RIPS

  RIPS是一款基于PHP开发的针对PHP代码安全审计的软件。另外,它也是一款开源软件,由国外安全研究员开发,程序只有450KB,目前能下载到的最新版本是0.54,不过这款程序已经停止更新了。它最大的亮点在于调用了PHP内置解析器接口token_get_all,并且使用Parser做了语法分析,实现了跨文件的变量及函数追踪,扫描结果中非常直观地展示了漏洞形成及变量传递过程,误报率非常低。RIPS能够发现SQL注入、XSS跨站、文件包含、代码执行、文件读取等多种漏洞,文件多种样式的代码高亮。


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/69952527/viewspace-2806960/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论
老男孩教育专注于Linux培训,Python培训,网络安全培训,Go语言培训,Linux运维,云计算培训,阿里云架构师培训的高端培训机构,汇聚了一批实战大牛,理论+实战互动式教学,注重教学质量及学员口碑的高品质IT教育培训机构。

注册时间:2019-11-01

  • 博文量
    1262
  • 访问量
    529388