代码审计服务

一 服务简介：

源代码审计(CODE REVIEW)是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。

源代码审计服务的目的在于充分挖掘当前代码中存在的安全缺陷以及规范性缺陷，从而让开发人员了解其开发的应用系统可能会面临的威胁，并指导开发人员正确修复程序缺陷。

二 代码审计的优势

1、对于新上线的系统

新上线系统对互联网环境的适应性较差，代码审计可以充分挖掘代码中存在的安全缺陷避免系统刚上线就遇到重大攻击。

2、对于已运行的系统

先于黑客发现系统的安全隐息，提前部署好安全防御措施，保证系统的每个环节在未知环境下都能经得起黑客挑战。

3、确保代码质量

实践证明，程序的安全性是否有保障很大程度上取决于程序代码的质量，而保证代码质量最快捷有效的手段就是源代码审计。

三 服务内容

1、系统所开源的框架

包括反序列化漏洞，远程代码执行漏洞，SPRING、STRUTS2安全漏洞,PHP安全漏洞等。

2、应用代码关注要素

日志伪造漏洞，密码明文存储，资源管理调试程序残留，二次注入，反序列化。

3、API滥用

不安全的数据库调用、随机数创建、内存管理调用、字符串操作，危险的系统方法调用。

4、源代码设计

不安全的域、方法、类修饰符未使用的外部引用、代码。

5、错误处理不当程序异常处理、返回值用法、空指针、E志记录。

6、直接对象引用

直接引用数据库中的数据、文件系统、内存空间。

7、资源滥用

不安全的文件创建/修改/删除，竞争冲突，内存泄露。

8、业务逻辑错误

欺骗密码找回功能，规避交易限制,越权缺陷COOKIES和SESSION的问题。

9、规范性权限配置

数据库配置规范，WEB服务的权限配置。

四 服务流程

                                      前期准备      代码审计实施       复测阶段         成果汇报

                                      确定审计对象   源代码扫描       回归检查          项目完结

                                      审计方式和时间 人工代码审计   (二次复查)