Sourcecode-Analyse auf Sicherheitsprobleme
Zufällig bin ich auf ein Tool von Microsoft gestoßen, mit dem man durch einen einzelnen Mausklick den Sourcecode auf folgende Probleme analysieren kann:
Cross Site Scripting – SQL Injection – Process Command Injection – File Canonicalization – Exception Information – LDAP Injection – XPATH Injection – Redirection to User Controlled Site
Das Tool hat den einfallsreichen Namen CAT.Net, was für Code Analysis Tool steht. Bei der Analyse bestehender Projekte hat das Tool einige Probleme aufgezeigt. Es zeigt, ähnlich wie der Stack-Trace, wie ein möglicher Angriffspfad im Code aussehen kann.
Das Tool scheint aber noch nicht ganz ausgereift zu sein, da es extrem viel RAM benötigt. Die Analyse eines größeren Projekts konnte zum Beispiel nicht vollständig durchgeführt werden da der RAM ausging.
Ich denke, dass dieses Tool bei jedem Web-Projekt zum Einsatz kommen sollte. Je früher man ein solches Tool bei der Entwicklung einsetzt, umso gezielter kann man Security Probleme umgehen. Ausschließen kann man sie natürlich nie ganz.
Zum Download:
Die folgenden Bibliotheken und Tools könnten auch hilfreich sein:
