시큐어코딩 정적 보안 점검툴 - 상용소프트웨어
장점: 큰 프로젝트에서 짧은 수행기간동안 많은 효과를 도출할 수 있다.
서비스와 동일하게 구축이 되어 있다면 일부 추적도 가능하다.
단점: 가격이 비싸다.
도출된 수많은 취약점에 대한 audit 이 어렵다.
오탐이 많이 발생한다.
툴: 아큐네틱스: http://www.webcon.kr/
Fortify: http://www8.hp.com/us/en/software-solutions/software.html?compURI=1337262
Fortify SCA 사용자 가이드:
F360_v2.6_SCA_User_Guide(1).pdf
시큐어코딩 정적 보안 점검툴 - 무료소프트웨어
장점: 라이선스에 대한 비용이 없기 때문에 비용에 대한 부담이 없다.
작은 프로젝트에서는 효과를 발휘할 수 있다.
단점: static analysis 방식이기 때문에 추적성을 기대하기 힘들다.
진단 범위(rule set)가 상용소프트웨어보다 현저히 적다
오탐이 많이 발생한다.
툴: yasca: http://www.scovetta.com/yasca.html
yasca 사용메뉴얼
'보안 > 웹 해킹_보안' 카테고리의 다른 글
| [WebGoat 5.4-05] Buffer Overflows (0) | 2013.04.07 |
|---|---|
| [WebGoat 5.4-04] Authentication Flaws (0) | 2013.04.07 |
| [WebGoat 5.4-03] Ajax Security (0) | 2013.04.07 |
| [WebGoat 5.4-02] Access Control Flaws (0) | 2013.04.07 |
| [WebGoat 5.4-01] General (0) | 2013.02.28 |