产品与服务 / 安全服务 / 源代码审计服务_下一代防火墙,堡垒机,等级保护,渗透测试-悟安,网络安全守护者!

代码审计通过自动化分析工具和人工审查的组合审计方式，帮助企业从安全角度对应用系统的所有逻辑路径进行测试，通过分析源代码，充分挖掘代码中存在的安全缺陷以及规范性缺陷。找到普通安全测试所无法发现的如二次注入、反序列化、xml实体注入等安全漏洞。

包含java反序列化漏洞，导致远程代码执行。Spring、Struts2的相关安全。

日志伪造漏洞，密码明文存储，资源管理，调试程序残留，二次注入，反序列化。

不安全的数据库调用、随机数创建、内存管理调用、字符串操作，危险的系统方法调用。

不安全的域、方法、类修饰符未使用的外部引用、代码。

程序异常处理、返回值用法、空指针、日志记录。

直接引用数据库中的数据、文件系统、内存空间。

不安全的文件创建／修改／删除，竞争冲突，内存泄露。

欺骗密码找回功能，规避交易限制,越权缺陷Cookies和session的问题。

数据库配置规范，Web服务的权限配置SQL语句编写规范。

【三】源代码审计应用场景

在渗透测试中，代码审计可以作为辅助的方式协助渗透的进行，采用白盒+黑盒模式，提高渗透测试效果。

在新功能上线时进行安全检测，保证业务的功能安全性，优化企业功能上线流程。

代码审计的关注点为代码中是否存在功能设计不合理，发现风险代码可提供相应的安全开发经验。