4 Open Source tools dhe teknika për rritjen e aftësisë tuaj për testimin e sigurisë së aplikacioneve dhe organizatës tuaj.
Kërkimi i sigurisë shpesh kërkon një larmi të gjerë mjetesh dhe teknikash. Open Sourcet mund të ofrojnë një mënyrë të arritshme dhe të fuqishme për të rritur aftësitë e testimit të sigurisë. Nëse punoni në fushen e cyber-security ose jeni entuziast qe deshiron te testoje aftesitte e veta, këtu janë disa mjete me burim të hapur që mund të ia vlen të shtohen në arsenalin tuaj të mjetit të sigurisë.
- Doxygen Documentation Generator
Doxygen Documentation Generator është një gjenerator i dokumentacionit për një larmi gjuhësh të njohura programimi. Kjo i lejon përdoruesit të nxjerrin strukturën e kodit nga skedarët dhe të nxjerrin në pah marrëdhëniet midis elementeve të kodit. Ky mjet në thelb ofron një përfaqësim vizual të kodit tuaj dhe mund të ndihmojë në sigurimin e një kuptimi më të thellë, më gjithëpërfshirës të bazave veçanërisht komplekse të kodit. Doxygen lejon përdoruesit të analizojnë rrjedhën e kodit dhe mund, për shembull, të ndihmojë në inspektimin visual e code inheritance. Doxygen eshte nje tool qe eshte shume I mire I perdoreshem ne disa sisteme operimi pa pasur probleme nese ju jeni nje fans i Windows, Linux apo Mac.
-
Z3 Constraint Solver
Nje tjeter mjet shume i mire është Z3, zgjidhës i kufizimeve dhe që mund të plotësojë analizën e softuerit, verifikimin dhe mjetet fuzzing. Ai siguron lidhje për disa gjuhë programimi, përfshirë C / C ++ dhe Python. Z3 përpiqet të gjejë zgjidhje që plotësojnë një grup specifik të kufizimeve të përcaktuara. Kjo mund të bëhet e dobishme, për shembull, për të kontrolluar ndër-kufizimet e vlefshmërisë së hyrjes për të gjetur shpëtime të mundshme që mund të rezultojnë në gjendje të padëshiruara.
Ndërsa rishikimi manual i kodit dhe paqartësia mund të ndihmojnë në identifikimin e gjendjeve problematike, Z3 shton verifikimin gjithëpërfshirës matematikor dhe logjik, i cili siguron një nivel shtesë të rishikimit të kodit. Ju mund ta përdorni këtë mjet për të testuar një veçori ose një bllok të veçantë kodi për të provuar kufizimet dhe për të zbuluar çështje të mundshme si psh thyerja e privatesise. Për shembull, Trail of Bits publikoi një postim në blog ku përshkruhej se si e përdori Z3 për të gjetur cenueshmërinë e Heartbleed. Postimi përshkon kthimin e kodit real në funksione dhe ato funksione në kufizime Z3, gjë që rezulton në një kombinim të vlerave që tejmbush një regjistër të CPU-së dhe me sukses quan një rutinë të ndarjes së kujtesës me një vlerë të pavlefshme, siç vizualizohet më poshtë.
-
LibFuzzer Fuzzing Engine
Open Source i trete quhet libFuzzer. Eshte nje tool qe shume shpejt po gjen perdorim dhe po rritet ne popullaritet. Me ane te ketij tool ju do te jeni te afte te testoni aftesine dhe vlefshmerine e formave dhe inputit qe vendosni. Ne momentin qe ky tool vendoset ne perdorim fillon te kerkoje “holes” ne te cilat varet nje sistem dhe te mund ta rrezoje ate. Një përfitim tjetër i madh është aftësia e libFuzzer për të krahesuar operacionet dhe te percaktoje se cilat vlera do te ishin ato qe mund te afektoheshin te parat.
- Gcov Code Coverage Tool
Gcov, është pjesë e një kategorie mjetesh të quajtur code coverage, i cili shkon ne te njejten linje me fuzzers. Meqenëse fuzzers mund të funksionojnë vazhdimisht për ditë ose javë në të njëjtën kohë, mund të jetë sfiduese për përdoruesit të kuptojnë se sa pjese te kodit kanë testuar, duke përfshirë cilat linja të kodit janë aksesuar (dhe cilat jo). Mjetet e mbulimit të kodit ofrojnë një pamje të hollësishme të progresit të një fuzzer me kalimin e kohës, duke lejuar rregullimet e fuzzer që maksimizojnë mbulimin e kodit të fuzzer për të siguruar që të verifikohen shumica e aspekteve të rrjedhës së kodit / bazës së kodit. Kjo ndihmon në rritjen e besimit në rezultatet.
