Хакер #305. Многошаговые SQL-инъекции
Корпорация Microsoft выпустила еще одну утилиту общего назначения,
предназначенную для оценки безопасности приложений.
Microsoft Minifuzz – это легковесный файловый инспектор,
обнаруживающий наличие программных багов методом впрыска случайных данных в
приложение. Согласно требованиям Secure Development Lifecycle (SDL), весь
программный код на стадии разработки должен проходить интенсивные проверки на
наличие возможности переполнения буфера и других распространенных ошибок.
Данная утилита – одно из двух приложений для обеспечения безопасности,
которые корпорация Microsoft выпустила в эту среду. Вторая программа,
BinScope Binary Analyzer, проверяет внедрение при разработке всех
необходимых методов безопасного программирования. Среди тех вещей, на наличие
которых осуществляется проверка – присутствие флага /GS, затрудняющего
эксплуатацию переполнения буфера, а также использование последней версии
компилятора.
BinScope работает только тогда, когда у пользователя есть доступ к private
symbol, что предотвращает возможность вредоносного использования программы
посторонними.
Новые приложения пополнили коллекцию утилит для разработчиков от Microsoft, в
числе которых уже находится выпущенная в прошлом году программа
SDL Threat Modeling Tool
и более свежая утилита с открытым кодом под названием
!exploitable Crash Analyzer.
Загрузить новые инструменты можно
здесь.