源代碼安全審計
    發布謝技時間: 2023-11-04 14:28   為的; 
源代碼安全審計

源代碼安全審計


源代碼安全審計,應用系統軟件自身的安全性是确保應用系統安全穩定運行的關(guān)鍵。但通件對(tōng)常應用系統在開發的過程中(zhōng)會引入安要喝全缺陷而造成應用系統自身存在安全漏洞,如(rú)被外部威脅所利用會産生安外技全風險,造成不良的安全影響。需要通(tōng讀房)過采用應用系統源代碼安全審計的方式,從源代碼層面來視如減少(shǎo)和(hé)降低開發過程中(zhō文窗ng)的安全缺陷和(hé)安全漏洞。因此,通(tōng)過開展應用系統源代碼事公審計工作,減少(shǎo)客戶應用系統的安全漏洞和(hé)缺陷隐患,件市有效降低客戶應用系統安全風險,保障應用系統安全穩定運行。同時,等級保護中(zhōng)針對軟件開發有對代碼安全檢測就大的具體要求


源代碼安全審計服務的實施過程包括前期準備、代碼審查、出具報告、協助整改和(h家科é)回歸審計(複查)幾個(gè)階段。通(tōng)過代碼審計團隊的專業(南雪yè)經驗,結合專業(yè)工具從系統代碼層請事面發現系統自身的安全風險,從源頭上控制風險,降低、控制客戶組織業(yè女你)務運營過程中(zhōng)因系統風險帶來的危害,從而什我保障組織業(yè)務正常運營。

代碼審計服務内容(部分)


系統所用開源框架

包括反序列化漏洞,遠(yuǎn)程代碼執行音近漏洞,spring、struts2安全漏洞,PHP愛內安全漏洞等

應用代碼關(guān)注要素

日志僞造漏洞,密碼明文(wén)存儲,資(zī)源管理,現師調試程序殘留,二次注入,反序列化。

API濫用

不安全的數據庫調用、随機數創建、内存管理調用、字符串件花操作,危險的系統方法調用。

源代碼設計

不安全的域、方法、類修飾符未使用的外部引用、代碼。

錯誤處理不當

程序異常處理、返回值用法、空指針、日志記錄。

直接對象引用

直接引用數據庫中(zhōng)的數據、文(wén)件系統、内存空間。

資(zī)源濫用

不安全的文(wén)件創建/修改/删除,競争沖突,内存洩露。

業(yè)務邏輯錯誤

欺騙密碼找回功能,規避交易限制,越權缺陷Cookies和(hé)session的歌遠問(wèn)題。

規範性權限配置

數據庫配置規範,Web服務的權限配置SQL語句編寫規範。