源代碼安全審計
源代碼安全審計,應用系統軟件自身的安全性是确保應用系統安全穩定運樹一行的關(guān)鍵。但通(tōng)常應用系統在開發的過程中(zhōng問開)會引入安全缺陷而造成應用系統自身存在安全漏業視洞,如(rú)被外部威脅所利用會産生安全風險,造成不良的安全影響。需鐵可要通(tōng)過采用應用系統源代碼安全審計的方式,從源代碼層兒影面來減少(shǎo)和(hé)降低開發過程中(zhōng)的安多物全缺陷和(hé)安全漏洞。因此,通(tōng員明)過開展應用系統源代碼審計工作,減少(shǎo)客戶關間應用系統的安全漏洞和(hé)缺陷隐患,有效降低客戶應用系統安全風險,用我保障應用系統安全穩定運行。同時,等級保護中(zhōng)針對軟件開發有對代碼安全檢測的具體要求。
源代碼安全審計服務的實施過程包括前期準備、代碼審查、出具報告、協助整改和(h了雨é)回歸審計(複查)幾個(gè)階段。通(問兒tōng)過代碼審計團隊的專業(yè)經驗,結合專業(yè)工具從系樹雜統代碼層面發現系統自身的安全風險,從源頭上控電農制風險,降低、控制客戶組織業(yè)務運營過程中(zhōng)我就因系統風險帶來的危害,從而保障組織業(yè)務正常運營。理外
代碼審計服務内容(部分)
系統所用開源框架 包括反序列化漏洞,遠(yuǎn)程代碼執行漏洞,spring、struts2安全漏洞,PHP安全漏洞等 | 應用代碼關(guān)注要素 日志僞造漏洞,密碼明文(wén)存儲,資(zī)源管理,調試程你音序殘留,二次注入,反序列化。 | API濫用 不安全的數據庫調用、随機數創建、内存管理調用、字符串操作,危險的系統方法調媽技用。 |
源代碼設計 不安全的域、方法、類修飾符未使用的外部引用、代碼。 | 錯誤處理不當 程序異常處理、返回值用法、空指針、日志記錄。 | 直接對象引用 直接引用數據庫中(zhōng)的數據、文(wén)件系統、離日内存空間。 |
資(zī)源濫用 不安全的文(wén)件創建/修改/删除,競争沖突,内存洩訊刀露。 | 業(yè)務邏輯錯誤 欺騙密碼找回功能,規避交易限制,越權缺陷Cookies和(hé)session的問(wèn)題分鐘。 | 規範性權限配置 數據庫配置規範,Web服務的權限配置SQL語句編寫規範。 |
