หน้าแรก>ซอร์สโค้ด JSP>หมวดหมู่อื่นๆ
ดาวน์โหลด

เครื่องมือวิเคราะห์แบบไดนามิก

คอลเล็กชั่นการสแกนการสแกนช่องโหว่ที่ยอดเยี่ยมและการดูแลอย่างต่อเนื่องและการจัดเรียงแนวทางแนวทางที่ดีที่สุดและทรัพยากรทางเทคนิคและการทดสอบความปลอดภัยแอปพลิเคชันแบบไดนามิกที่สำคัญที่สุด (DAST)

What is Dynamic Analysis?

การวิเคราะห์แบบไดนามิกคือการทดสอบและการประเมินผลของแอปพลิเคชันในระหว่างการรันไทม์

การพูดคุย

ข้อได้เปรียบหลักของการวิเคราะห์แบบไดนามิก: มันเผยให้เห็นข้อบกพร่องหรือช่องโหว่ที่ละเอียดอ่อนซึ่งสาเหตุที่ซับซ้อนเกินไปที่จะค้นพบโดยการวิเคราะห์แบบคงที่ การวิเคราะห์แบบไดนามิกสามารถมีบทบาทในการประกันความปลอดภัย แต่เป้าหมายหลักคือการค้นหาและแก้ไขข้อผิดพลาด

พลวัต

Table of Contents

ภาษาการเขียนโปรแกรม

แสดงภาษา
  • .สุทธิ
  • C
  • C ++
  • ชวา
  • จาวาสคริปต์
  • PHP
  • งูหลาม
  • ทับทิม
  • สนิม
  • SQL
  • ภาพพื้นฐาน

หลายภาษา

อื่น

  • API
    • ไบนารี
    • bytecode/ir
    • ภาชนะบรรจุ
    • Laravel
    • การรักษาความปลอดภัย/การประเสริฐ
    • เว็บ
    • การใช้เว็บ
    • XML

Programming Languages

.สุทธิ

  • Microsoft Intellitest - สร้างชุดการทดสอบสำหรับรหัส. NET ของคุณ
  • PEX และ MOLES - PEX สร้างชุดทดสอบโดยอัตโนมัติด้วยการครอบคลุมรหัสสูงโดยใช้การวิเคราะห์กล่องสีขาวอัตโนมัติ

C

  • CHAP-วิเคราะห์ไฟล์แกน ELF ที่ไม่ได้รับการรับรองสำหรับการรั่วไหลการเติบโตของหน่วยความจำและการทุจริต ช่วยอธิบายการเติบโตของหน่วยความจำสามารถระบุการคอร์รัปชั่นบางรูปแบบและเสริมดีบักเกอร์โดยให้สถานะของตำแหน่งหน่วยความจำต่างๆ
  • KLEE - เครื่องเสมือนสัญลักษณ์ที่สร้างขึ้นบนโครงสร้างพื้นฐานคอมไพเลอร์ LLVM
  • LDRA ©️-ชุดเครื่องมือรวมถึงการวิเคราะห์แบบไดนามิกและการทดสอบกับมาตรฐานต่าง ๆ สามารถรับรองความครอบคลุมของการทดสอบได้ถึง 100% op-code, Branch & Decsion Coverage
  • llvm/clang sanitizers -
    • addressSanitizer - เครื่องตรวจจับข้อผิดพลาดหน่วยความจำสำหรับ C/C ++
    • MemorySanitizer - เครื่องตรวจจับหน่วยความจำที่ไม่ได้ใช้งานอ่านในโปรแกรม C/C ++
    • ThreadSanitizer - เครื่องตรวจจับการแข่งขันข้อมูลสำหรับ C/C ++
  • TIS-Interpreter-ล่ามสำหรับการค้นหาข้อบกพร่องที่ลึกซึ้งในโปรแกรมที่เขียนในมาตรฐาน C.
  • VALGRIND - กรอบเครื่องมือสำหรับการสร้างเครื่องมือวิเคราะห์แบบไดนามิก

C ++

  • CHAP-วิเคราะห์ไฟล์แกน ELF ที่ไม่ได้รับการรับรองสำหรับการรั่วไหลการเติบโตของหน่วยความจำและการทุจริต ช่วยอธิบายการเติบโตของหน่วยความจำสามารถระบุการคอร์รัปชั่นบางรูปแบบและเสริมดีบักเกอร์โดยให้สถานะของตำแหน่งหน่วยความจำต่างๆ
  • KLEE - เครื่องเสมือนสัญลักษณ์ที่สร้างขึ้นบนโครงสร้างพื้นฐานคอมไพเลอร์ LLVM
  • LDRA ©️-ชุดเครื่องมือรวมถึงการวิเคราะห์แบบไดนามิกและการทดสอบกับมาตรฐานต่าง ๆ สามารถรับรองความครอบคลุมของการทดสอบได้ถึง 100% op-code, Branch & Decsion Coverage
  • llvm/clang sanitizers -
    • addressSanitizer - เครื่องตรวจจับข้อผิดพลาดหน่วยความจำสำหรับ C/C ++
    • MemorySanitizer - เครื่องตรวจจับหน่วยความจำที่ไม่ได้ใช้งานอ่านในโปรแกรม C/C ++
    • ThreadSanitizer - เครื่องตรวจจับการแข่งขันข้อมูลสำหรับ C/C ++
  • TIS-Interpreter-ล่ามสำหรับการค้นหาข้อบกพร่องที่ลึกซึ้งในโปรแกรมที่เขียนในมาตรฐาน C.
  • VALGRIND - กรอบเครื่องมือสำหรับการสร้างเครื่องมือวิเคราะห์แบบไดนามิก

ชวา

  • Java Pathfinder - กรอบการตรวจสอบโมเดลซอฟต์แวร์ที่ขยายได้สำหรับโปรแกรม Java bytecode
  • Parasoft JTest ©️ - JTest เป็นการทดสอบซอฟต์แวร์ Java อัตโนมัติและผลิตภัณฑ์การวิเคราะห์แบบคงที่ที่ทำโดย Parasoft ผลิตภัณฑ์รวมถึงเทคโนโลยีสำหรับการวิเคราะห์การไหลของหน่วยการไหลและการดำเนินการและการดำเนินการการวิเคราะห์แบบคงที่การทดสอบการถดถอยการครอบคลุมรหัสและการตรวจจับข้อผิดพลาดรันไทม์

จาวาสคริปต์

  • iroh.js - เครื่องมือวิเคราะห์รหัสแบบไดนามิกสำหรับ JavaScript Iroh อนุญาตให้บันทึกการไหลของรหัสของคุณแบบเรียลไทม์สกัดกั้นข้อมูลรันไทม์และจัดการพฤติกรรมของโปรแกรมได้ทันที
  • JALANGI2 - JALANGI2 เป็นกรอบความนิยมสำหรับการเขียนการวิเคราะห์แบบไดนามิกสำหรับ JavaScript

PHP

  • INLIGHTN - เครื่องมือการวิเคราะห์แบบคงที่และแบบไดนามิกสำหรับแอปพลิเคชัน LARAVEL ที่ให้คำแนะนำเพื่อปรับปรุงประสิทธิภาพความปลอดภัยและความน่าเชื่อถือของรหัสของแอพ Laravel มีการตรวจสอบอัตโนมัติ 120 รายการ

งูหลาม

  • Crosshair - เอ็นจิ้นการดำเนินการเชิงสัญลักษณ์สำหรับการทดสอบสัญญา Python
  • ไอคอน-การออกแบบโดยการออกแบบไลบรารีที่รองรับพฤติกรรมย่อยพฤติกรรมยังมีเครื่องมือที่กว้างขึ้นรอบ ๆ ไลบรารีไอคอนเช่น linter (Pyicontract-Lint) และปลั๊กอินสำหรับสฟิงซ์ (sphinx-icontract)
  • Scalene-CPU ที่มีประสิทธิภาพสูงและมีความแม่นยำสูงและหน่วยความจำ Profiler สำหรับ Python
  • TYPO - การตรวจสอบประเภทรันไทม์สำหรับ Python 3

ทับทิม

  • SUTURE - อัญมณีทับทิมที่ช่วยให้คุณปรับเปลี่ยนรหัสมรดกของคุณโดยเป็นผลมาจากพฤติกรรมเก่า ๆ ที่มีเวอร์ชันใหม่

สนิม

  • ทอผ้า - เครื่องมือทดสอบการเปลี่ยนรูปแบบพร้อมกันสำหรับการเกิดสนิม มันดำเนินการทดสอบหลายครั้งทำให้เกิดการประหารชีวิตพร้อมกันที่เป็นไปได้ของการทดสอบนั้น
  • MIRI-ล่ามสำหรับการเป็นตัวแทนระดับกลางระดับกลางของ Rust ซึ่งสามารถตรวจจับพฤติกรรมที่ไม่ได้กำหนดบางประเภทเช่นการเข้าถึงหน่วยความจำนอกขอบเขตและการใช้งานฟรี
  • Puffin - เครื่องมือวัดเครื่องมือสำหรับสนิม
  • ติดอยู่ - ให้การสร้างภาพข้อมูลสำหรับการระบุคอขวดทั่วไปอย่างรวดเร็วในการใช้งานแอปพลิเคชันแบบอะซิงโครนัสและพร้อมกัน

SQL

  • Whitehat Sentinel Dynamic ©️ - ส่วนหนึ่งของแพลตฟอร์มความปลอดภัยของแอปพลิเคชัน Whitehat เครื่องสแกนความปลอดภัยแอปพลิเคชันแบบไดนามิกที่ครอบคลุม 10 อันดับแรกของ OWASP

ภาพพื้นฐาน

  • VB Watch ©️ - Profiler, Protector และ Debugger สำหรับ VB6 Profiler วัดประสิทธิภาพและการทดสอบความครอบคลุม ผู้พิทักษ์ใช้การจัดการข้อผิดพลาดที่แข็งแกร่ง ดีบักเกอร์ช่วยตรวจสอบหน้าที่ของคุณ

หลายภาษา

  • รหัสพัลส์-รหัสพัลส์เป็นเครื่องมือครอบคลุมรหัสแบบเรียลไทม์ฟรีสำหรับกิจกรรมการทดสอบการเจาะโดย OWASP และ CODE DX (GitHub)
  • GCOV - โปรแกรมครอบคลุมซอร์สโค้ด GNU เครื่องมือครอบคลุมรหัสและเครื่องมือการทำโปรไฟล์ซึ่งเป็นส่วนหนึ่งของ GCC รองรับ C, C ++, Fortran

อื่น

API

  • SmartBear ©️ - ทดสอบระบบอัตโนมัติและแพลตฟอร์มทดสอบประสิทธิภาพ

ไบนารี

  • Angr - กรอบการวิเคราะห์ไบนารีแพลตฟอร์มจาก UCSB
  • BOLT - การเพิ่มประสิทธิภาพแบบไบนารีและเครื่องมือเลย์เอาต์ - ยูทิลิตี้บรรทัดคำสั่ง Linux ที่ใช้ในการเพิ่มประสิทธิภาพประสิทธิภาพของไบนารีด้วยการเปลี่ยนรูปแบบของการเชื่อมโยงเพื่อปรับปรุงประสิทธิภาพแคช
  • Dr. Memory-Dr. Memory เป็นเครื่องมือตรวจสอบหน่วยความจำที่สามารถระบุข้อผิดพลาดการเขียนโปรแกรมที่เกี่ยวข้องกับหน่วยความจำ (GitHub)
  • Dynamorio - เป็นระบบจัดการรหัสรันไทม์ที่รองรับการแปลงรหัสในส่วนใด ๆ ของโปรแกรมในขณะที่ดำเนินการ
  • LLVM-Propeller-การแยกฟังก์ชั่นร้อน/เย็นของไกด์นำทางเพื่อปรับปรุงประสิทธิภาพแคช ทางเลือกในการโบลต์โดย Facebook
  • เครื่องมือ PIN - เครื่องมือเครื่องมือไบนารีแบบไดนามิกและแพลตฟอร์มสำหรับการสร้างเครื่องมือวิเคราะห์
  • Triton - การวิเคราะห์ไบนารีแบบไดนามิกสำหรับ X86 ไบนารี

bytecode/ir

  • SOUPER - เพิ่มประสิทธิภาพ LLVM IR กับ SMT Solvers

ภาชนะบรรจุ

  • CADVISOR - วิเคราะห์การใช้ทรัพยากรและลักษณะประสิทธิภาพของการรันคอนเทนเนอร์

Laravel

  • INLIGHTN - เครื่องมือการวิเคราะห์แบบคงที่และแบบไดนามิกสำหรับแอปพลิเคชัน LARAVEL ที่ให้คำแนะนำเพื่อปรับปรุงประสิทธิภาพความปลอดภัยและความน่าเชื่อถือของรหัสของแอพ Laravel มีการตรวจสอบอัตโนมัติ 120 รายการ

การรักษาความปลอดภัย/การประเสริฐ

  • AppScan Standard ©️ - AppScan ของ HCL เป็นชุดทดสอบความปลอดภัยแอปพลิเคชันแบบไดนามิก (ก่อนหน้านี้โดย IBM)
  • INLIGHTN - เครื่องมือการวิเคราะห์แบบคงที่และแบบไดนามิกสำหรับแอปพลิเคชัน LARAVEL ที่ให้คำแนะนำเพื่อปรับปรุงประสิทธิภาพความปลอดภัยและความน่าเชื่อถือของรหัสของแอพ Laravel มีการตรวจสอบอัตโนมัติ 120 รายการ
  • WebScanner ©️ - WebScanner เป็นโซลูชัน DAST สำหรับการตรวจสอบความปลอดภัยที่ครอบคลุมของแอปพลิเคชันเว็บที่ใช้งานอยู่
  • Whitehat Sentinel Dynamic ©️ - ส่วนหนึ่งของแพลตฟอร์มความปลอดภัยของแอปพลิเคชัน Whitehat เครื่องสแกนความปลอดภัยแอปพลิเคชันแบบไดนามิกที่ครอบคลุม 10 อันดับแรกของ OWASP
  • สแกนเนอร์ OWASP / ช่องโหว่เต็มรูปแบบ

เว็บ

  • SmartBear ©️ - ทดสอบระบบอัตโนมัติและแพลตฟอร์มทดสอบประสิทธิภาพ

การใช้เว็บ

  • WASABI - WASABI เป็นกรอบสำหรับการเขียนการวิเคราะห์แบบไดนามิกสำหรับ WebAssembly ที่เขียนด้วย JavaScript

XML

  • Whitehat Sentinel Dynamic ©️ - ส่วนหนึ่งของแพลตฟอร์มความปลอดภัยของแอปพลิเคชัน Whitehat เครื่องสแกนความปลอดภัยแอปพลิเคชันแบบไดนามิกที่ครอบคลุม 10 อันดับแรกของ OWASP

^ back to top ^

ใบอนุญาต

ใบอนุญาต MIT & CC ใบอนุญาต


งานนี้ได้รับใบอนุญาตภายใต้ใบอนุญาต Creative Commons Attribution 4.0 International

ตามขอบเขตที่เป็นไปได้ภายใต้กฎหมาย Paul Veillard ได้สละสิทธิ์ลิขสิทธิ์และสิทธิที่เกี่ยวข้องหรือใกล้เคียงกับงานนี้ทั้งหมด

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด