代碼安全實(shí)驗(yàn)指導(dǎo)

第1章代碼安全保障系統(tǒng)基本配置1
1.1系統(tǒng)設(shè)置1
1.2模塊管理7
1.2.1代碼安全保障系統(tǒng)用戶管理實(shí)驗(yàn)7
1.2.2代碼安全保障系統(tǒng)檢測(cè)模板管理實(shí)驗(yàn)15
1.2.3代碼安全保障系統(tǒng)日志管理實(shí)驗(yàn)22
1.2.4代碼安全保障系統(tǒng)引擎管理實(shí)驗(yàn)26

第2章代碼安全保障系統(tǒng)缺陷檢測(cè)32
2.1C/C++缺陷檢測(cè)32
2.1.1代碼釋放后使用缺陷檢測(cè)實(shí)驗(yàn)32
2.1.2代碼返回棧地址缺陷檢測(cè)實(shí)驗(yàn)44
2.1.3空指針解引用缺陷檢測(cè)實(shí)驗(yàn)48
2.1.4代碼越界訪問缺陷檢測(cè)實(shí)驗(yàn)53
2.1.5無符號(hào)整數(shù)回繞缺陷檢測(cè)實(shí)驗(yàn)58
2.1.6字符串缺少終止符缺陷檢測(cè)實(shí)驗(yàn)62
2.1.7代碼在scanf函數(shù)中沒有對(duì)%s格式符進(jìn)行寬度限制
缺陷檢測(cè)實(shí)驗(yàn)67
2.1.8緩沖區(qū)下溢缺陷檢測(cè)實(shí)驗(yàn)73
2.1.9解引用未初始化的指針代碼缺陷檢測(cè)實(shí)驗(yàn)78
2.1.10sizeof操作符獲取數(shù)組長(zhǎng)度缺陷檢測(cè)實(shí)驗(yàn)83
2.1.11寬窄字符串及其操作函數(shù)混淆缺陷檢測(cè)實(shí)驗(yàn)87
2.1.12代碼強(qiáng)制終止執(zhí)行缺陷檢測(cè)實(shí)驗(yàn)92
2.2PHP缺陷檢測(cè)97
2.2.1命令注入缺陷檢測(cè)實(shí)驗(yàn)97
2.2.2SQL注入缺陷檢測(cè)實(shí)驗(yàn)102
2.2.3存儲(chǔ)型XSS缺陷檢測(cè)實(shí)驗(yàn)106
2.2.4反射型XSS缺陷檢測(cè)實(shí)驗(yàn)110
2.2.5重定向缺陷檢測(cè)實(shí)驗(yàn)115
2.2.6路徑遍歷缺陷檢測(cè)實(shí)驗(yàn)119代碼安全實(shí)驗(yàn)指導(dǎo)目錄2.2.7動(dòng)態(tài)解析代碼缺陷檢測(cè)實(shí)驗(yàn)123
2.2.8不安全的哈希算法缺陷檢測(cè)實(shí)驗(yàn)126
2.2.9XPath注入缺陷檢測(cè)實(shí)驗(yàn)130
2.2.10硬編碼密碼缺陷檢測(cè)實(shí)驗(yàn)134
2.3Java缺陷檢測(cè)141

第3章代碼安全保障系統(tǒng)合規(guī)檢測(cè)146
3.1C/C++合規(guī)檢測(cè)146
3.1.1對(duì)環(huán)境變量的長(zhǎng)度進(jìn)行假設(shè)合規(guī)檢測(cè)實(shí)驗(yàn)146
3.1.2檢測(cè)并處理庫函數(shù)中的錯(cuò)誤合規(guī)檢測(cè)實(shí)驗(yàn)151
3.1.3較大長(zhǎng)度的值比較或賦值合規(guī)檢測(cè)實(shí)驗(yàn)155
3.1.4代碼在free()之后立即在指針中存儲(chǔ)一個(gè)新值合規(guī)檢測(cè)實(shí)驗(yàn)160
3.1.5代碼只釋放動(dòng)態(tài)分配的內(nèi)存合規(guī)檢測(cè)實(shí)驗(yàn)164
3.1.6代碼控制流合規(guī)檢測(cè)實(shí)驗(yàn)169
3.1.7字符串存儲(chǔ)空間合規(guī)檢測(cè)實(shí)驗(yàn)174
3.2Java合規(guī)檢測(cè)179
3.2.1代碼重用Java標(biāo)準(zhǔn)庫已經(jīng)公開的標(biāo)識(shí)符合規(guī)檢測(cè)實(shí)驗(yàn)179
3.2.2代碼使用Object.equals()方法來比較兩個(gè)數(shù)組合規(guī)檢測(cè)實(shí)驗(yàn)183
3.2.3代碼使用相等操作符比較封裝的基礎(chǔ)數(shù)據(jù)類型合規(guī)檢測(cè)實(shí)驗(yàn)187
3.2.4代碼使用浮點(diǎn)數(shù)變量作為循環(huán)計(jì)數(shù)器合規(guī)檢測(cè)實(shí)驗(yàn)190
3.2.5代碼捕獲NullPointerException或者任何它的基類合規(guī)檢測(cè)實(shí)驗(yàn)…195
3.2.6代碼實(shí)例鎖的使用合規(guī)檢測(cè)實(shí)驗(yàn)198
3.2.7代碼在循環(huán)中調(diào)用wait()和await()方法合規(guī)檢測(cè)實(shí)驗(yàn)202
3.2.8代碼從流中讀取的字符（或字節(jié)）和-1的區(qū)別合規(guī)檢測(cè)實(shí)驗(yàn)206
3.2.9代碼空無限循環(huán)合規(guī)檢測(cè)實(shí)驗(yàn)209
3.2.10代碼析構(gòu)函數(shù)合規(guī)檢測(cè)實(shí)驗(yàn)214

第4章代碼安全保障系統(tǒng)發(fā)起檢測(cè)任務(wù)218
4.1發(fā)起C/C++檢測(cè)任務(wù)218
4.1.1C語言缺陷檢測(cè)任務(wù)實(shí)驗(yàn)218
4.1.2C語言合規(guī)檢測(cè)任務(wù)實(shí)驗(yàn)222
4.1.3C#語言缺陷檢測(cè)任務(wù)實(shí)驗(yàn)225
4.2發(fā)起PHP檢測(cè)任務(wù)229
4.2.1PHP語言缺陷檢測(cè)任務(wù)實(shí)驗(yàn)229
4.2.2代碼安全保障系統(tǒng)發(fā)起持續(xù)任務(wù)檢測(cè)實(shí)驗(yàn)231
4.2.3代碼安全保障系統(tǒng)發(fā)起項(xiàng)目里程碑檢測(cè)實(shí)驗(yàn)240
4.3發(fā)起Java&Python檢測(cè)任務(wù)247
4.3.1Java語言缺陷檢測(cè)任務(wù)實(shí)驗(yàn)247
4.3.2Java語言自定義檢測(cè)模板缺陷檢測(cè)任務(wù)實(shí)驗(yàn)251
4.3.3Java語言基于maven構(gòu)建的檢測(cè)任務(wù)實(shí)驗(yàn)255
4.3.4Java語言基于gradle構(gòu)建的檢測(cè)任務(wù)實(shí)驗(yàn)258
4.3.5Java語言合規(guī)檢測(cè)任務(wù)實(shí)驗(yàn)260
4.3.6溯源檢測(cè)任務(wù)實(shí)驗(yàn)262
4.3.7Python語言缺陷檢測(cè)任務(wù)實(shí)驗(yàn)264

第5章代碼安全保障系統(tǒng)檢測(cè)結(jié)果審計(jì)267
5.1檢測(cè)結(jié)果分析267
5.1.1代碼安全保障系統(tǒng)檢測(cè)結(jié)果審計(jì)實(shí)驗(yàn)267
5.1.2代碼安全保障系統(tǒng)檢測(cè)結(jié)果mybug統(tǒng)計(jì)實(shí)驗(yàn)270
5.1.3代碼安全保障系統(tǒng)檢測(cè)結(jié)果統(tǒng)計(jì)分析實(shí)驗(yàn)274
5.2檢測(cè)結(jié)果管理277
5.2.1代碼安全保障系統(tǒng)審計(jì)信息攜帶實(shí)驗(yàn)277
5.2.2代碼安全保障系統(tǒng)導(dǎo)出檢測(cè)結(jié)果實(shí)驗(yàn)281