什么是源代码审计?
源代码审计(Code Review)是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。
源代码审计服务的目的在于充分挖掘当前代码中存在的安全缺陷以及规范性缺陷,从而让开发人员了解其开发的应用系统可能会面临的威胁,并指导开发人员正确修复程序缺陷。
源代码安全审计服务
采用分析工具和专业人工审查,对系统源代码进行全面细致的安全审查,从根本上解决系统可能存在的漏洞、后门等安全问题!
源代码审计与模糊测试区别
在漏洞挖掘过程中有两种重要的漏洞挖掘技术,分别是源代码审计和模糊测试。源代码审计是通过静态分析程序源代码,找出代码中存在的安全性问题;而模糊测试则需要将测试代码执行起来,然后通过构造各种类型的数据来判断代码对数据的处理是否正常,以发现代码中存在的安全性问题。
为什么要做代码审计?
新上线系统
新上线系统对互联网环境的适应性较差,代码审计可以充分挖掘代码中存在的安全缺陷。避免系统刚上线就遇到重大攻击。
已运行系统
先于黑客发现系统的安全隐患,提前部署好安全防御措施,保证系统的每个环节在未知环境下都能经得起黑客挑战。
确保代码质量
实践证明,程序的安全性是否有保障很大程度上取决于程序代码的质量,而保证代码质量最快捷有效的手段就是源代码审计。
企业做代码审计带来的好处!
明确安全隐患点
可以从整套源码切入最终明确至某个威胁点并加以验证
提高安全意识
有效督促管理人员杜绝任何一处小的缺陷,从而降低整体风险
提升开发人员安全技能
通过审计报告,以及安全人员与开发人员的沟通,开发人员更好的完善代码安全开发规范
服务内容
系统所用开源框架
包括反序列化漏洞,远程代码执行漏洞,spring、struts2安全漏洞,PHP安全漏洞等
应用代码关注要素
日志伪造漏洞,密码明文存储,资源管理,调试程序残留,二次注入,反序列化。
API滥用
不安全的数据库调用、随机数创建、内存管理调用、字符串操作,危险的系统方法调用。
源代码设计
不安全的域、方法、类修饰符未使用的外部引用、代码。
错误处理不当
程序异常处理、返回值用法、空指针、日志记录。
直接对象引用
直接引用数据库中的数据、文件系统、内存空间。
资源滥用
不安全的文件创建/修改/删除,竞争冲突,内存泄露。
业务逻辑错误
欺骗密码找回功能,规避交易限制,越权缺陷Cookies和session的问题。
规范性权限配置
数据库配置规范,Web服务的权限配置SQL语句编写规范。
为什么选择天磊卫士合作?
安全团队能力强
有政府、金融、电商、能源、教育等多个领域的安全项目经验以及丰富的安全编码经验。
检查项专业
检查类别涉及27大类,177个检查项;同时提供不同等级检查项供选择。
交付体贴周到
完善的报告交付要求,全程项目管控,实施在线问答。