Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

FlawFinder a caccia di falle

Link copiato negli appunti

Un recente baco scoperto in HelixPlayer e RealPlayer, già corretto e per cui si raccomanda di scaricare le nuove versioni dei player, mi ha fatto saltare all´occhio FlawFinder, uno strumento open source per la ricerca di potenziali vulnerabilità nel codice C/C++.

FlawFinder analizza le linee di codice alla ricerca di funzioni di sistema C/C++ con vulnerabilità note (ad esempio strcpy al posto di strncpy) e, soprattutto, controllando eventuali buffer di cui non venga gestita correttamente la lunghezza. Si tratta, insomma, di un software per effettuare penetration test.

È anche possibile inserire dei particolari comandi indirizzati a FlawFinder tramite dei commenti inseriti direttamente nel codice opportunamente formattati.

Questo tool, inoltre, riconosce e tratta correttamente le funzioni per l´internazionalizzazione (ad esempio gettext) evitando così numerosi falsi positivi.

Il tool è stato scritto in Python e pertanto può funzionare su un vasto parco di macchine e sistemi operativi ed è stato usato anche per scovare la vulnerabilità di HelixPlayer e RealPlayer di cui sopra.

Nonostante sia scritto in un linguaggio interpretato è estremamente veloce e permette addirittura di analizzare le singole patch di un software, senza dover scansionare nuovamente tutto il codice.

L´ultima versione disponibile è la 1.27 e l´installazione prevede solo di scompattare il file e lanciare il programma.

Ti consigliamo anche