• Linux测试软件:从源代码开始


    http://www.linuxdiyf.com/linux/201105/83.html

      现在,大量的网络服务器开始使用Linux操作系统,Linux服务器的安全性也开始受到关注。对Linux服务器攻击的定义是:攻击是一种旨在妨 碍、损害、削弱、破坏Linux服务器安全的未授权行为,攻击的范围可以从服务拒绝直至完全危害和破坏Linux服务器。对Linux服务器攻击有许多种 类,从攻击深度的角度说明,我们可以把攻击分为四级:服务拒绝攻击(DoS)、本地用户获取了非授权的文件的读写权限、远程用户获得特权文件的读写权限、 远程用户获得根权限。下面,我们将选取一些Linux测试软件有针对性的经典工具,一一加以说明。


      Linux系统中最常见的缺陷就是缓冲区溢出,缓冲区以前可能被定义为“包含相同数据类型的实例的一个连续计算机内存块”。极其常见的缓冲区种类是简 单的字符数组,溢出就是数据被添加到分配给该缓冲区的内存块之外。由此,我们可以看到,作为开源系统,Linux系统中的代码检查就显得十分重要。对于攻 击者和管理员来说,谁首先重视它,就在一定程度上取得了主动权。


      (1)linux测试软件SPIKE


      SPIKE是immunitysec公司的Dave Aitel写的一个黑盒进行安全测试的工具。SPIKE提供了各种各样的构造函数。例如s_binary可以构造二进制数据,s_string可以构造字 符串,s_unistring可以构造UNICODE字符串等。SPIKE的另一个优势是Dave Aitel的Fuzz理论,它可以构造一些特殊的数字或者字符串作为程序的输入,检查程序是否能够处理这些异常数据。此外,SPIKE里边提供了常见的协 议支持,例如SUN RPC和MS RPC。


      (2)linux测试软件Lint


      Lint能够检查的部分错误列表:可能的空指针;在释放内存之后使用了该指针;赋值次序问题;拼写错误等。通常,一个C/C++的编译器假设程序是正 确的,而Lint恰恰相反,因此,它优于编译器执行的一般性检查。Lint还可以贯穿多个文件来执行它的错误检查和代码分析,这是编译器做不到的。比较流 行的Lint 程序有:PC-lint是一个由Gimpel Software提供的支持C/C++的商用程序;Splint (原来的 LCLint) 是一个GNU免费授权的 Lint程序,但是只支持C不支持C++。


      运行 Lint时,和正常的编译器一样,只要把直接加入的makefile 中就可以了。通过配置选项、代码注释等方法可以控制和校准Lint的输出。例如,这里有一个返回NULL指针的函数,Splint可以通过下面的注释 /*@null@*/ 来识别:
     

      /*@null@*/ void *test(void)
      {
      // a function that
      returns NULL!  return NULL;
      }


      这样做有两个目的:防止Splint为这个返回Null指针的函数告警;保证Splint 检查任何调用该函数的代码中使用该函数的返回指针是有效的。


      (3)linux测试软件Flawfinder


      Flawfinder 是一款用Python编写的c、c++程序安全审核工具,可以检查潜在的安全风险。它通过搜索检测文件源代码从而得到潜在的安全漏洞,支持检测数据库,以HTML格式生成报告。


    <script>window._bd_share_config={"common":{"bdSnsKey":{},"bdText":"","bdMini":"2","bdMiniList":false,"bdPic":"","bdStyle":"0","bdSize":"16"},"share":{}};with(document)0[(getElementsByTagName('head')[0]||body).appendChild(createElement('script')).src='http://bdimg.share.baidu.com/static/api/js/share.js?v=89860593.js?cdnversion='+~(-new Date()/36e5)];</script>
    阅读(331) | 评论(0) | 转发(0) |
    给主人留下些什么吧!~~
    评论热议
  • 相关阅读:
    MSIL实用指南-数据类型转换
    MSIL实用指南-类相关生成
    MSIL实用指南-方法的调用
    MSIL实用指南-struct的生成和操作
    MSIL实用指南-闭包的生成和调用
    Jenkins+maven+gitlab自动化部署之用户权限管理(八)
    Jenkins+maven+gitlab自动化部署之docker发布sprint boot项目(七)
    Centos7部署node
    Jenkins+maven+gitlab自动化部署之前端构建发布(六)
    Jenkins+maven+gitlab自动化部署之构建Java应用(五)
  • 原文地址:https://www.cnblogs.com/ztguang/p/12647270.html
Copyright © 2020-2023  润新知