源代碼安全審計
源代碼安全審計,應用系統軟件自身的安全性是确保應用系統安全穩定運行的關化分(guān)鍵。但通(tōng)常應用系統在開發的過程中(zh和知ōng)會引入安全缺陷而造成應用系統自身存在安全漏洞,如(rú)被外熱體部威脅所利用會産生安全風險,造成不良的安全影響。需要通(tō這樂ng)過采用應用系統源代碼安全審計的方式,從源代碼科科層面來減少(shǎo)和(hé)降低開發過程中(zhōng厭飛)的安全缺陷和(hé)安全漏洞。因此,通(tōng)坐相過開展應用系統源代碼審計工作,減少(shǎo)客戶應用系統的安全漏洞和(南機hé)缺陷隐患,有效降低客戶應用系統安全雪場風險,保障應用系統安全穩定運行。同時,等級保護中(zhōng)針對軟件開發有對代碼安全檢測的具體要求。
源代碼安全審計服務的實施過程包括前期準備、代碼審查、出具報告、協助整改和(hé)回歸審計(複外姐查)幾個(gè)階段。通(tōng)過代碼審計團隊的專業(y答信è)經驗,結合專業(yè)工具從系統代碼層面發現系統自身的安全風險,從源影鐵頭上控制風險,降低、控制客戶組織業(yè)務運營過程很校中(zhōng)因系統風險帶來的危害,從而保障組織業(年多yè)務正常運營。
代碼審計服務内容(部分)
系統所用開源框架 包括反序列化漏洞,遠(yuǎn)程代碼執行漏洞,spring、struts2安全漏洞,PHP安全漏洞等 | 應用代碼關(guān)注要素 日志僞造漏洞,密碼明文(wén)存儲,資嗎習(zī)源管理,調試程序殘留,二次注入,反序麗裡列化。 | API濫用 不安全的數據庫調用、随機數創建、内存管理調用、字符串操作,危險的系統快費方法調用。 |
源代碼設計 不安全的域、方法、類修飾符未使用的外部引用、代碼。 | 錯誤處理不當 程序異常處理、返回值用法、空指針、日志記錄。 | 直接對象引用 直接引用數據庫中(zhōng)的數據、文(wén靜明)件系統、内存空間。 |
資(zī)源濫用 不安全的文(wén)件創建/修改/删除,競争沖突,内存洩露。國男 | 業(yè)務邏輯錯誤 欺騙密碼找回功能,規避交易限制,越權缺陷Cookies和(hé)sessi鐵低on的問(wèn)題。 | 規範性權限配置 數據庫配置規範,Web服務的權限配置SQL語句編寫規範。 |
