010-57298809

源代码审计服务

【一】源代码审计概述

代码审计通过自动化分析工具和人工审查的组合审计方式,帮助企业从安全角度对应用系统的所有逻辑路径进行测试,通过分析源代码,充分挖掘代码中存在的安全缺陷以及规范性缺陷。找到普通安全测试所无法发现的如二次注入、反序列化、xml实体注入等安全漏洞。

【二】源代码审计内容

系统所用开源框架

系统所用开源框架

包含java反序列化漏洞,导致远程代码执行。Spring、Struts2的相关安全。

应用代码关注要素

应用代码关注要素

日志伪造漏洞,密码明文存储,资源管理,调试程序残留,二次注入,反序列化。

API滥用

API滥用

不安全的数据库调用、随机数创建、内存管理调用、字符串操作,危险的系统方法调用。

源代码设计

源代码设计

不安全的域、方法、类修饰符未使用的外部引用、代码。

错误处理不当

错误处理不当

程序异常处理、返回值用法、空指针、日志记录。

直接对象引用

直接对象引用

直接引用数据库中的数据、文件系统、内存空间。

资源滥用

资源滥用

不安全的文件创建/修改/删除,竞争冲突,内存泄露。

业务逻辑错误

业务逻辑错误

欺骗密码找回功能,规避交易限制,越权缺陷Cookies和session的问题。

规范性权限配置

规范性权限配置

数据库配置规范,Web服务的权限配置SQL语句编写规范。







 
【三】源代码审计应用场景

在渗透测试中,代码审计可以作为辅助的方式协助渗透的进行,采用白盒+黑盒模式,提高渗透测试效果。

在新功能上线时进行安全检测,保证业务的功能安全性,优化企业功能上线流程。

代码审计的关注点为代码中是否存在功能设计不合理,发现风险代码可提供相应的安全开发经验。


技术支持:悟安 Copyright © 2014-2020 北京旗云天下科技有限公司 版权所有 京公网安备 11011202000939号 京ICP备17058884号