代码审计服务

服务概述

代码审计(Code audit)是一种以发现程序错误、安全漏洞和违反程序规范为目标的源代码分析,能够帮助企业从安全角度对应用系统的所有逻辑路径进行测试,通过分析源代码,充分挖掘代码中存在的安全缺陷以及规范性缺陷,找到普通安全测试所无法发现的如二次注入、反序列化、xml实体注入等安全漏洞。代码审计的技术手段,可以弥补黑盒渗透测试的未能完全覆盖的漏洞环节与安全隐患,是一种可靠性、安全性最高的修补漏洞的方法。

服务流程

第一步,准备阶段
与客户进行技术沟通,确定审计对象,获取开发相关文档,了解业务流程等确认审计时间和方式。
 
第二步,代码审计阶段
使用自动化工具扫描+人工代码审计,汇总审计结果,形成审计报告,与客户沟通审计结果,并提出修复建议。
 
第三步,代码复查阶段
客户修复后进行二次审查,提交复查报告。
 
第四步,成果交付
成果汇总,与客户沟通最终结果
 
 

服务内容

代码审计服务内容包括:开发所用的开源框架、源代码设计、错误处理不当、直接对象引用、资源滥用、API滥用、后门代码发现等。
 
系统所用开源框架

系统所用开源框架

包含java反序列化漏洞,导致远程代码执行。Spring、Struts2的相关安全。

应用代码关注要素

应用代码关注要素

日志伪造漏洞,密码明文存储,资源管理,调试程序残留,二次注入,反序列化。

API滥用

API滥用

不安全的数据库调用、随机数创建、内存管理调用、字符串操作,危险的系统方法调用。

源代码设计

源代码设计

不安全的域、方法、类修饰符未使用的外部引用、代码。

错误处理不当

错误处理不当

程序异常处理、返回值用法、空指针、日志记录。

直接对象引用

直接对象引用

直接引用数据库中的数据、文件系统、内存空间。

资源滥用

资源滥用

不安全的文件创建/修改/删除,竞争冲突,内存泄露。

业务逻辑错误

业务逻辑错误

欺骗密码找回功能,规避交易限制,越权缺陷Cookies和session的问题。

规范性权限配置

规范性权限配置

数据库配置规范,Web服务的权限配置SQL语句编写规范。

客户收益

提前做好代码审计,将先于黑客发现系统的安全隐患,提前部署号安全防御措施,保证系统的每个环节在未知环境下都能禁得起黑客挑战。


上一篇: web安全渗透测试服务

下一篇: 安全事件应急响应服务

 电话咨询  在线咨询  预约报名