您現在的位置 > 首頁 > 安全服務 > 代碼審計服務


一、代碼審計安全服務介紹


1.1代碼審計

代碼審計(Code Audit)是指安全代碼評估者盡可能的通過閱讀應用系統的源代碼來發現潛在的安全漏洞及隐患的技術手段。

代碼審計的技術手段,可以彌補黑盒滲透測試的未能完全覆蓋的漏洞環節與安全隐患,是一種可靠性、安全性最高的修補漏洞的方法。

可以通過對常見的編程語言如ASP、ASP.NET、PHP、JAVA、C++等語言進行源代碼審計,查找出代碼中存在的安全問題。


1.2代碼審計安全服務項目收益

代碼審計是對代碼庫和軟件架構的安全性、可靠性全面安全檢查,通過對開發人員的源代碼分析結果與整個系統分析的全局信息進行關聯分析,能防止嚴重的軟件漏洞洩漏到代碼流中。實踐證明,程序的安全性是否有保障很大程度上取決于程序代碼的質量,而保證代碼質量最快捷有效的手段就是源代碼審計。

從代碼審計安全服務項目中,客戶能夠得到的收益至少有:

1)明确安全隐患點:源代碼審計能夠對整個信息系統的所有源代碼進行檢查,從整套源代碼切入最終明至某個威脅點并加以驗證,以此明确整體系統中的安全隐患點;

2)提高安全意識:通過審計到的漏洞讓開發人員了解漏洞的形成和危害,提高開發中的安全意識;

3)提高開發人員安全技能:任何的隐患在源代碼審計服務中都可能造成“千裡之堤潰于蟻穴”的效果,因此源代碼審計服務可有效督促管理人員杜絕任何一處小的缺陷,從而降低整體風險。



二、代碼審計安全服務流程



代碼審計的流程可以參考如下:



三、代碼審計的漏洞類型


對代碼審計中存在的漏洞進行審計,常見的漏洞類型如下:


3.1SQL注入攻擊

攻擊者通過輸入一段數據庫查詢代碼竊取或修改數據庫中的數據。


3.2 XSS跨站攻擊

利用網站漏洞攻擊訪問該站點用戶,達到竊取該站點訪問者相關的用戶登陸或認證信息的目的。


3.3遠程、本地文件包含攻

PHP、JSP中使用本地、遠程文件包含進行攻擊。


3.4命令行執行攻擊

攻擊者利用post或cookie執行系統命令。


3.5 Cookie攻擊

攻擊者利用修改cookie來改變變量的值,從而利用web系統的漏洞進行注入等攻擊。


3.6關鍵文件下載

攻擊者通過工具或特殊命令下載網站系統的數據庫文件、配置文件信息。


3.7越權漏洞

越權漏洞是由于對用戶訪問權限控制不嚴,導緻普通用戶可以以其他用戶權限或管理用戶權限進行操作。


3.8提權

攻擊者利用系統漏洞獲取操作系統的權限,乃至管理員權限。


3.9應用平台漏洞攻擊

攻擊者通過獲悉應用平台後,可以利用該平台的已知漏洞進行攻擊;當應用平台出現漏洞,且沒有官方補丁時,同樣面臨被攻擊的風險。


3.10木馬上傳

攻擊者利用黑客工具上傳Webshell以達到控制服務器的目的。