检测 Web 应用程序和桌面应用程序中的漏洞答案

【问题标题】：detecting vulnerabilities in web applications and desktop applications检测 Web 应用程序和桌面应用程序中的漏洞
【发布时间】：2010-11-27 20:06:52
【问题描述】：

抱歉，这不是关于特定编程语言的问题，但我需要对此发表意见。请不要投票赞成关闭。

我在哪里可以了解如何从头开始检测漏洞？

我知道 HTML、CSS、JS、Java 和 C。

那么，我在哪里可以了解如何检测用这些 prog. 编写的应用程序中的漏洞。语言？

我听说过“黑客”可以在几秒钟内检测出网络浏览器中的漏洞的竞赛。我知道经验是这里的主要关键！但我还能在自己身上成长为这样一个人的其他因素吗？

PS：不要看到“google”，我在找推荐！

【问题讨论】：

【解决方案1】：

对于初学者来说，CSS、HTML 和 JS 并不会真正导致应用程序的不安全性。有DOM Based XSS，但这种情况非常少见。相比之下，每年在 Java 和 C 中都会发现许多漏洞。

有 2 种主要方法可用于查找代码中的漏洞。使用 grep 或 Rats 之类的工具或更高级的工具（例如 Fortify 和 Coverity 提供的工具）进行静态代码分析。

另一种方法是模糊应用程序。对于在非 Web 应用程序中查找缓冲区溢出等问题，Peach 是一个出色的测试平台。要测试 Web 应用程序的 XSS 和 SQL 注入等常见漏洞，您应该使用 Wapiti（开源）或 Sitewatch（免费服务）等工具。

【讨论】：

【解决方案2】：

OWASP 前 10 名是一个好的开始：

绝大多数网络安全漏洞都属于这些类别。

【讨论】：