AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

黑盒白盒测试工具

2010-11-09 1564
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysisC/C++ 1、flawfinder http://www.

http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis

C/C++

1、flawfinder

http://www.dwheeler.com/flawfinder/

2、Bunny the Fuzzer (fuzzer function)

http://code.google.com/p/bunny-the-fuzzer/wiki/BunnyDoc

3、rats

http://www.fortify.com/security-resources/rats.jsp



JAVA/JSP

1、findbugs

http://findbugs.sourceforge.net/

2、LAPSE (Eclipse plugin)

http://suif.stanford.edu/~livshits/work/lapse/


PHP

1、Pixy

http://pixybox.seclab.tuwien.ac.at/pixy/


2、swaat

http://www.securitycompass.com/swaat/

Addison Wesley - Secure Programming with Static Analysis - 2007.pdf

Art.of.Software.Security.Assessment.chm

 

给出两款我们用的比较多的java源代码
检查工具:findbugs和 checkstyle

 

Php Code Audits的方向

下面是一个Source Code Auditing tools的一个list[转于网络]

Name - [ language/s supported ] - web link:
.TEST - [ C#, VB.NET, MC++ ] - http://www.parasoft.com/jsp/products.jsp
ASTRéE - [ C ] - http://www.astree.ens.fr
Bandera - [ Java ] - http://bandera.projects.cis.ksu.edu/
BLAST - [ C ] - http://mtc.epfl.ch/software-tools/blast/
BOON - [ C ] - http://www.cs.berkeley.edu/~daw/boon/
C Code Analyzer (CCA) - [ C ] - http://www.drugphish.ch/~jonny/cca.html
C++test - [ C++ ] - http://www.parasoft.com/jsp/products.jsp
CCMetrics - [ C#, VB.NET ] - http://www.serviceframework.com/jwss/utility,ccmetrics,utility.aspx
Checkstyle - [ Java ] - http://checkstyle.sourceforge.net/
CodeCenter - [ C ] - http://www.ics.com/products/centerline/codecenter/features.html
CodeScan - [ .ASP, PHP ] - http://www.codescan.com/
CodeSecure - [ PHP, Java ] - http://www.armorize.com/corpweb/en/products/codesecure
CodeSonar - [ C, C++ ] - http://www.grammatech.com/products/codesonar/overview.html
CQual - [ C ] - http://www.cs.umd.edu/~jfoster/cqual
Csur - [ C ] - http://www.lsv.ens-cachan.fr/csur/
Dehydra - [ C++ ] - http://wiki.mozilla.org/Dehydra_GCC
DevInspect - [ C#, Visual Basic, JavaScript, VB Script] - http://www.spidynamics.com/products/devinspect/
DevPartner SecurityChecker - [ C#, Visual Basic ] - http://www.compuware.com/products/devpartner/securitychecker.htm
DoubleCheck - [ C, C++ ] - http://www.ghs.com/products/doublecheck.html
FindBugs - [ Java ] - http://findbugs.sourceforge.net/
FlawFinder - [ C, C++ ] - http://www.dwheeler.com/flawfinder/
Fluid - [ Java ] - http://www.fluid.cs.cmu.edu/
Frama-C - [ C ] - http://frama-c.cea.fr/
ftnchek - [ FORTRAN ] - http://www.dsm.fordham.edu/~ftnchek/
FxCop - [ .NET ] - http://code.msdn.microsoft.com/codeanalysis
g95-xml - [ FORTRAN ] - http://g95-xml.sourceforge.net/
ITS4 - [ C, C++ ] - http://www.cigital.com/its4/
Jlint - [ Java ] - http://artho.com/jlint/
JsLint - [ JavaScript ] - http://www.jslint.com/
Jtest - [ Java ] - http://www.parasoft.com/jsp/products.jsp
KlocWork / K7 - [ C, C++, Java ] - http://www.klocwork.com/products/k7_security.asp
LAPSE - [ Java ] - http://www.owasp.org/index.php/Category:OWASP_LAPSE_Project
MOPS - [ C ] - http://www.cs.berkeley.edu/~daw/mops/
MSSCASI - [ ASP ] - http://www.microsoft.com/downloads/details.aspx?FamilyId=58A7C46E-A599-4FCB-9AB4-A4334146B6BA&displaylang=en
MZTools - [ VB6, VBA ] - http://www.mztools.com/index.aspx/
Oink - [ C++ ] - http://www.cubewano.org/oink
Ounce - [ C, C++, Java, JSP, ASP.NET, VB.NET, C# ] - http://www.ouncelabs.com/accurate-complete-results.html
Perl-Critic - [ Perl ] - http://search.cpan.org/dist/Perl-Critic/
PLSQLScanner 2008 - [ PLSQL ] - http://www.red-database-security.com/software/plsqlscanner.html
PHP-Sat - [ PHP ] - http://www.program-transformation.org/PHP/PhpSat
Pixy - [ PHP ] - http://pixybox.seclab.tuwien.ac.at/pixy/index.php
PMD - [ Java ] - http://pmd.sourceforge.net/
PolySpace - [ Ada, C, C++ ] - http://www.polyspace.com/products.htm
PREfix & PREfast - [ C, C++ ] - http://support.microsoft.com/vst
Prevent - [ C, C++ ] - http://www.coverity.com/html/coverity-software-quality-products.html
PyChecker - [ Python ] - http://pychecker.sourceforge.net/
pylint - [ Python ] - http://www.logilab.org/project/pylint
QA-C, QA-C++, QA-J - [ C, C++, Java, FORTRAN ] - http://www.programmingresearch.com/PRODUCTS.html
QualityChecker - [ Visual Basic 6 ] - http://d.cr.free.fr/
RATS - [ C, C++, Perl, PHP, Python ] - http://www.fortify.com/security-resources/rats.jsp
RSM - [ C, C++, C#, Java ] - http://msquaredtechnologies.com/m2rsm/
Smatch - [ C ] - http://smatch.sourceforge.net/
SCA - [ ASP.NET, C, C++, C#, Java, JSP, PL/SQL, T-SQL, VB.NET, XML ] - http://www.fortifysoftware.com/products/sca/
Skavenger - [ PHP ] - http://code.google.com/p/skavenger/
smarty-lint - [ PHP ] - http://code.google.com/p/smarty-lint/
soot - [ Java ] - http://www.sable.mcgill.ca/soot/
Source Monitor - [ C#, VB.NET ] - http://www.campwoodsw.com/sm20.html
SPARK - [ Ada ] - http://www.praxis-his.com/sparkada/spark.asp
Spike PHP Security Audit Tool - [ PHP ] - http://developer.spikesource.com/projects/phpsecaudit/
Splint - [ C ] - http://www.splint.org/
SWAAT - [ PHP, ASP.NET, JSP, Java ] - http://www.owasp.org/index.php/Category:OWASP_SWAAT_Project
UNO - [ C ] - http://spinroot.com/uno/">
vil - [ C#, VB.NET ] - http://www.1bot.com/
Viva64 - [ C++ ] - http://www.viva64.com/
xg++ - [ C ] - http://www.stanford.edu/~engler/mc-osdi.pdf
YTKScan Java - [ Java ] - http://www.cam.org/~droujav/y2k/Y2KScan.html

支持php的有:

CodeScan - [ .ASP, PHP ] - http://www.codescan.com/
CodeSecure - [ PHP, Java ] - http://www.armorize.com/corpweb/en/products/codesecure
PHP-Sat - [ PHP ] - http://www.program-transformation.org/PHP/PhpSat
Pixy - [ PHP ] - http://pixybox.seclab.tuwien.ac.at/pixy/index.php
RATS - [ C, C++, Perl, PHP, Python ] - http://www.fortify.com/security-resources/rats.jsp
Skavenger - [ PHP ] - http://code.google.com/p/skavenger/
smarty-lint - [ PHP ] - http://code.google.com/p/smarty-lint/
Spike PHP Security Audit Tool - [ PHP ] - http://developer.spikesource.com/projects/phpsecaudit/
SWAAT - [ PHP, ASP.NET, JSP, Java ] - http://www.owasp.org/index.php/Category:OWASP_SWAAT_Project

另外还有一个Fortify - http://www.fortifysoftware.com [如果还有,请帮忙补充]

目前就php的Source Code Auditing tool基本都是静态分析的,而Source Code Auditing一直围绕着2个元素:变量和函数.也就是说这些tools不管是php开发的还是java开发的,也不管是不是基于php原代码的,他本身都对一些危险的函数和变量都对应的一个'字典'[特征字符串],这些tools都是通过查找这些字典,然后跟踪变量来分析代码.

但是随着程序员安全意识的提高,很多的程序员也知道了这些'字典'了,都有对应的过滤,所以那些传统的问题,很找在大型程序里出现了.所以只有通过扩大我们的字典才有更多的机会去找到应用程序的漏洞.我们的途径有:

    * 分析和学习别人发现的漏洞或者exp,如大牛Stefan Esser发现的那些问题,rgod等以前发的那些exp
    * 通过学习php手册或者官方文档了解php 一些函数的'特性'
    * fuzz php的函数,找到新的有问题的函数[不一定非要溢出的]
    * 分析php源代码,发现新的漏洞函数'特性'或者漏洞
    * 有条件或者机会和开发者学习,找到他们实现某些常用功能的代码的缺陷或者容易忽视的问题
     * 你有什么要补充的吗? :)

文章标签:
Java
C++
PHP
Python
索引
关键词:
测试工具
黑盒测试
白盒测试工具
cnbird
目录
相关文章
职说测试
|
2月前
|
前端开发 测试技术 Python
【Selenium全攻略】掌握这一工具,实现自动化测试的所有梦想
本文分享了使用Selenium进行UI自动化测试的全过程,包括开发环境部署、代码实现、思路分析和难点解析。作者通过一个实际案例,讲述了如何利用Selenium处理前端生成报告失败的问题,以及在UI自动化中定位元素和处理元素不唯一的情况。同时,文章强调了解决问题思路的重要性,鼓励读者开拓思维,寻找不同的解决方案。
职说测试
93 4
【Selenium全攻略】掌握这一工具,实现自动化测试的所有梦想
游客4ajxjr2o23cj2
|
2月前
|
前端开发 jenkins 测试技术
自动化测试介绍,为何 Apifox 是进行自动化测试的最佳工具
自动化测试利用专用软件执行测试用例,比手动测试更高效准确。Apifox是一款集API文档、调试与自动化测试于一体的工具,提供一体化解决方案,简化API变更管理。其强大的测试功能支持丰富的断言及测试场景组合,便于模拟真实业务流程。Apifox还提供详尽的测试报告与分析功能,有助于快速定位问题。此外,它能轻松集成到CI/CD流程中,并支持定时任务及多分支管理,极大提升了测试效率和团队协作。相较于其他工具,Apifox以其全面的功能和友好的界面脱颖而出。
游客4ajxjr2o23cj2
54 1
TesterMuller
|
14天前
|
测试技术
基于LangChain手工测试用例转App自动化测试生成工具
在传统App自动化测试中,测试工程师需手动将功能测试用例转化为自动化用例。市面上多数产品通过录制操作生成测试用例,但可维护性差。本文探讨了利用大模型直接生成自动化测试用例的可能性,介绍了如何使用LangChain将功能测试用例转换为App自动化测试用例,大幅节省人力与资源。通过封装App底层工具并与大模型结合,记录执行步骤并生成自动化测试代码,最终实现高效自动化的测试流程。
TesterMuller
27 4
GG2020gg
|
1月前
|
监控 安全 Linux
如何利用Kali Linux进行网站渗透测试:最常用工具详解
如何利用Kali Linux进行网站渗透测试:最常用工具详解
GG2020gg
70 6
GG2020gg
|
1月前
|
安全 Linux 测试技术
Kali Linux预装的自动化渗透测试工具
Kali Linux预装的自动化渗透测试工具
GG2020gg
43 2
TesterMuller
|
2月前
|
测试技术
基于LangChain手工测试用例转Web自动化测试生成工具
该方案探索了利用大模型自动生成Web自动化测试用例的方法,替代传统的手动编写或录制方式。通过清晰定义功能测试步骤,结合LangChain的Agent和工具包,实现了从功能测试到自动化测试的转换,极大提升了效率。不仅减少了人工干预,还提高了测试用例的可维护性和实用性。
TesterMuller
44 4
路边两盏灯
|
2月前
|
消息中间件 Kafka 测试技术
【Azure 事件中心】使用Kafka的性能测试工具(kafka-producer-perf-test)测试生产者发送消息到Azure Event Hub的性能
【Azure 事件中心】使用Kafka的性能测试工具(kafka-producer-perf-test)测试生产者发送消息到Azure Event Hub的性能
路边两盏灯
38 2
热爱技术的小郑
|
2月前
|
测试技术 API
软件测试:Postman 工具的使用。开发及测试均需要掌握的测试工具
这篇文章详细介绍了Postman工具的各个模块功能,包括创建请求、集合、环境、自动化测试等,并解释了如何使用Postman进行GET、POST、PUT和DELETE等常见HTTP请求的测试。
热爱技术的小郑
41 2
秋夜雨巷
|
2月前
|
网络协议 测试技术 Apache
测试Netty高并发工具
测试Netty高并发工具
秋夜雨巷
67 3
Linux学习的那些事儿
|
3月前
|
运维 测试技术 Linux
关于Stress 压力测试工具的介绍与使用
在日益复杂的计算环境中,保证系统的稳定性和性能成为了每个Linux管理员的核心任务。面对不断增长的数据量和业务需求,如何有效评估系统极限和潜在瓶颈? 压力测试工具:stress,成为了不可或缺的助手。这篇记录描述stress工具的使用方法及其在模拟真实负载中的实用性。
Linux学习的那些事儿
143 13
关于Stress 压力测试工具的介绍与使用

热门文章

最新文章

  • 1
    麒麟开源堡垒机安装部署测试及优缺点总结
  • 2
    深度 | 大数据算法应用的测试发展之路
  • 3
    【精准测试】iOS 代码覆盖率数据采集自动化实践
  • 4
    Oracle Database 12c(12.1) Beta已经开始内部测试
  • 5
    phpunit测试学习 2 分类总结断言涉及哪些方面
  • 6
    使用Android、S3C6410开发板和Ubuntu测试Linux驱动
  • 7
    利用两种不同的NAT配置实现两个接口的双向静态NAT测试
  • 8
    开放源代码与.NET应用程序平台的性能测试
  • 9
    高通发布实地5G网络测试结果,8K视频观看毫无压力
  • 10
    亚马逊测试人工智能云服务 与谷歌微软等竞争
  • 1
    黑盒测试、白盒测试、灰盒测试的区别和各自的目的
    787
  • 2
    07-白盒测试方法-逻辑覆盖法
    373
  • 3
    软件工程——软件测试(黑盒测试、白盒测试、测试分析报告)
    291
  • 4
    软件测试实验二 白盒测试
    194
  • 5
    软件测试之测试的分类(重点:黑盒测试、白盒测试、单元测试、集成测试、系统测试)
    1041
  • 6
    软件测试面试题:黑盒测试和白盒测试是软件测试的两种基本方法,请分别说明各自的优点和缺点?
    251
  • 7
    软件测试面试题:请试着比较一下黑盒测试、白盒测试、单元测试、集成测试、系统测试、验收测试的区别与联系?
    184
  • 8
    软件测试面试题:简述什么是静态测试、动态测试、黑盒测试、白盒测试、α测试 β测试?
    202
  • 9
    软件测试面试题: 请试着比较一下黑盒测试、白盒测试、单元测试、集成测试、系统测试、验收测试的 区别与联系。
    242
  • 10
    『软件测试5』测开岗只要求会黑白盒测试?NO!还要学会性能测试!
    258

    • 相关课程

    更多
  • MSE微服务测试最佳实践 - 自动化回归

    • 相关电子书

    更多
  • 移动互联网测试到质量的转变
  • 给ITer的技术实战进阶课-阿里CIO学院独家教材(四)
  • F2etest — 多浏览器兼容性测试整体解决方案

    • 相关实验场景

    更多
  • 快速上手并跑通AnalyticDB PostgreSQL版TPC-H测试
  • 灵活弹性的PolarDB Serverless确保数据业务持续在线
    • 下一篇
    无影云桌面