Successful case
成功案例

代码审计服务

编辑:admin   浏览次数:次    更新时间:2017-11-19 21:10

代码审计(Code Audit)是指安全代码评估者尽可能的通过阅读应用系统的源代码来发现潜在的安全漏洞及隐患的技术手段。
代码审计的技术手段,可以弥补黑盒渗透测试的未能完全覆盖的漏洞环节与安全隐患,是一种可靠性、安全性最高的修补漏洞的方法。可以通过对常见的编程语言如ASP、ASP.NET、PHP、JAVA、C++等语言进行源代码审计,查找出代码中存在的安全问题。

帮助企业从安全角度对应用系统的所有逻辑路径进行测试,通过分析源代码,充分挖掘代码中存在的安全缺陷以及规范性缺陷。找到普通安全测试所无法发现的如二次注入、反序列化、xml实体注入等安全漏洞。

一、为什么要做代码审计
1、新上线系统
      新上线系统对互联网环境的适应性较差,代码审计可以充分挖掘代码中存在的安全缺陷。避免系统刚上线就遇到重大攻击。
2、已运行系统
      先于黑客发现系统的安全隐患,提前部署好安全防御措施,保证系统的每个环节在未知环境下都能经得起黑客挑战。
3、明确安全隐患点
     可从整套源代码切入最终明确至某个威胁点并加以验证。
4、提高安全意识
      有效防止管理人员遗漏缺陷,从而降低整体风险。
5、提升开发人员技能
      通过审计报告,以及安全人员与开发人员的沟通,开发人员更好的完善代码安全开发规范。

二、服务内容
1、系统所用开源框架
      包含java反序列化漏洞,导致远程代码执行。Spring、Struts2的相关安全。
2、应用代码关注要素
      日志伪造漏洞,密码明文存储,资源管理,调试程序残留,二次注入,反序列化。
3、API滥用
      不安全的数据库调用、随机数创建、内存管理调用、字符串操作,危险的系统方法调用。
4、源代码设计
      不安全的域、方法、类修饰符未使用的外部引用、代码。
5、错误处理不当
      程序异常处理、返回值用法、空指针、日志记录。
6、直接对象引用
      直接引用数据库中的数据、文件系统、内存空间。
7、资源滥用
      不安全的文件创建/修改/删除,竞争冲突,内存泄露。
8、业务逻辑错误
      欺骗密码找回功能,规避交易限制,越权缺陷Cookies和session的问题。
9、规范性权限配置
      数据库配置规范,Web服务的权限配置SQL语句编写规范。

三、服务优势
1、安全团队能力强
      有政府、金融、电商、能源、教育等多个领域的安全项目经验以及丰富的安全编码经验。
2、检查项专业
      检查类别涉及27大类,177个检查项;同时提供不同等级检查项供选择。
3、交付体贴周到
      完善的报告交付要求,全程项目管控,实时在线问答。

上一篇:漏洞扫描服务

下一篇:没有了

推荐案例