源代码安全审计
源代码安全审计,应用系统软件自身的安全性是确保应用系统安全稳定运行的关键。但通常应用系统在开发的过程中会引入安全缺陷而造成应用系统自身存在安全漏洞,如被外部威胁所利用会产生安全风险,造成不良的安全影响。需要通过采用应用系统源代码安全审计的方式,从源代码层面来减少和降低开发过程中的安全缺陷和安全漏洞。因此,通过开展应用系统源代码审计工作,减少客户应用系统的安全漏洞和缺陷隐患,有效降低客户应用系统安全风险,保障应用系统安全稳定运行。同时,等级保护中针对软件开发有对代码安全检测的具体要求。
源代码安全审计服务的实施过程包括前期准备、代码审查、出具报告、协助整改和回归审计(复查)几个阶段。通过代码审计团队的专业经验,结合专业工具从系统代码层面发现系统自身的安全风险,从源头上控制风险,降低、控制客户组织业务运营过程中因系统风险带来的危害,从而保障组织业务正常运营。
代码审计服务内容(部分)
系统所用开源框架 包括反序列化漏洞,远程代码执行漏洞,spring、struts2安全漏洞,PHP安全漏洞等 | 应用代码关注要素 日志伪造漏洞,密码明文存储,资源管理,调试程序残留,二次注入,反序列化。 | API滥用 不安全的数据库调用、随机数创建、内存管理调用、字符串操作,危险的系统方法调用。 |
源代码设计 不安全的域、方法、类修饰符未使用的外部引用、代码。 | 错误处理不当 程序异常处理、返回值用法、空指针、日志记录。 | 直接对象引用 直接引用数据库中的数据、文件系统、内存空间。 |
资源滥用 不安全的文件创建/修改/删除,竞争冲突,内存泄露。 | 业务逻辑错误 欺骗密码找回功能,规避交易限制,越权缺陷Cookies和session的问题。 | 规范性权限配置 数据库配置规范,Web服务的权限配置SQL语句编写规范。 |
