Освойте C и C++ с новой главой нашего Справочника по тестированию

В "Руководство по тестированию" добавлена новая глава, посвященная комплексному контрольному списку безопасности для кода на C и C++. Глава охватывает распространенные классы ошибок, известные "ловушки" и особенности API в кодовых базах C и C++, организованные по разделам, охватывающим Linux, Windows и seccomp. Эта глава обеспечивает прочную основу для ручного анализа кода, дополняя другие главы руководства, посвященные статическому и динамическому анализу. Контрольный список разрабатывается в навык Claude, который преобразует контрольный список в запросы для поиска ошибок, которые большая языковая модель может запускать против кодовой базы. Глава охватывает пять областей, включая общие классы ошибок, пользовательский режим и ядро Linux, пользовательский режим и ядро Windows, а также песочницы seccomp/BPF. Раздел пользовательского режима Linux фокусируется на особенностях libc, а разделы Windows охватывают подсадку DLL, уязвимости незакавыченных путей и проблемы обхода путей. В конце публикации представлены две задачи для проверки навыков анализа C/C++, причем первые 10 правильных ответов получат сувениры от Trail of Bits. Задачи включают простую программу ping с двумя особенностями libc и обработчик запросов драйвера Windows Driver Framework с несколькими ошибками, включая легко эксплуатируемую отказ в обслуживании. Цель состоит в том, чтобы постоянно обновлять руководство, включая эту главу, чтобы оно оставалось ключевым ресурсом для специалистов по безопасности и разработчиков, занимающихся анализом безопасности исходного кода.