Security service
安全服务


帮助企业从安全角度对应用系统的所有逻辑路径进行测试,通过分析源代码,充分挖掘代码中存在的安全缺陷以及规范性缺陷。找到普通安全测试所无法发现的如二次注入、反序列化、xml实体注入等安全漏洞。


一、为什么要做代码审计

1、新上线系统

       新上线系统对互联网环境的适应性较差,代码审计可以充分挖掘代码中存在的安全缺陷。避免系统刚上线就遇到重大攻击。

2、已运行系统

       先于黑客发现系统的安全隐患,提前部署好安全防御措施,保证系统的每个环节在未知环境下都能经得起黑客挑战。

3、明确安全隐患点

      可从整套源代码切入最终明确至某个威胁点并加以验证。

4、提高安全意识

       有效防止管理人员遗漏缺陷,从而降低整体风险。

5、提升开发人员技能

       通过审计报告,以及安全人员与开发人员的沟通,开发人员更好的完善代码安全开发规范。


二、服务内容

1、系统所用开源框架

       包含java反序列化漏洞,导致远程代码执行。SpringStruts2的相关安全。

2、应用代码关注要素

       日志伪造漏洞,密码明文存储,资源管理,调试程序残留,二次注入,反序列化。

3API滥用

       不安全的数据库调用、随机数创建、内存管理调用、字符串操作,危险的系统方法调用。

4、源代码设计

       不安全的域、方法、类修饰符未使用的外部引用、代码。

5、错误处理不当

       程序异常处理、返回值用法、空指针、日志记录。

6、直接对象引用

       直接引用数据库中的数据、文件系统、内存空间。

7、资源滥用

       不安全的文件创建/修改/删除,竞争冲突,内存泄露。

8、业务逻辑错误

       欺骗密码找回功能,规避交易限制,越权缺陷Cookiessession的问题。

9、规范性权限配置

       数据库配置规范,Web服务的权限配置SQL语句编写规范。


三、服务优势

1、安全团队能力强

       有政府、金融、电商、能源、教育等多个领域的安全项目经验以及丰富的安全编码经验。

2、检查项专业

       检查类别涉及27大类,177个检查项;同时提供不同等级检查项供选择。

3、交付体贴周到

       完善的报告交付要求,全程项目管控,实时在线问答。



else{ curProtocol = canonicalURL.split(':')[0]; } //Get current URL if the canonical URL does not exist if (!canonicalURL) canonicalURL = window.location.href; //Assign script content. Replace current URL with the canonical URL !function(){var e=/([http|https]:\/\/[a-zA-Z0-9\_\.]+\.baidu\.com)/gi,r=canonicalURL,t=document.referrer;if(!e.test(r)){var n=(String(curProtocol).toLowerCase() === 'https')?"https://sp0.baidu.com/9_Q4simg2RQJ8t7jm9iCKT-xh_/s.gif":"//api.share.baidu.com/s.gif";t?(n+="?r="+encodeURIComponent(document.referrer),r&&(n+="&l="+r)):r&&(n+="?l="+r);var i=new Image;i.src=n}}(window);})();