源代碼審計:
顧名思義就是檢查源代碼中的安全缺陷,檢查程序源代碼是否存在安全隱患,或者有編碼不規范的地方,通過自動化工具或者人工審查的方式,對程序源代碼逐條進行檢查和分析,發現這些源代碼缺陷引發的安全漏洞,并提供代碼修訂措施和建議。
源代碼審計是一種以發現程序錯誤,安全漏洞和違反程序規范為目標的源代碼分析。軟件代碼審計是對編程項目中源代碼的全面分析,旨在發現錯誤,安全漏洞或違反編程約定。 它是防御性編程范例的一個組成部分,它試圖在軟件發布之前減少錯誤。 C和C ++源代碼是常見的審計代碼,因為許多語言(如P y t h o n)具有較少的潛在易受攻擊的功能(例如,不檢查邊界的函數)。
對象:
我們的代碼審計對象包括并不限于對W i n d o w s和L i n u x系統環境下的以下語言進行審核:j a v a、C、C #、A S P、P H P、J S P、N E T。
內容包括
1.前后臺分離的運行架構
2.W E B服務的目錄權限分類
3.認證會話與應用平臺的結合
4.數據庫的配置規范
5.S Q L語句的編寫規范
6W E B服務的權限配置
7.對抗爬蟲引擎的處理措施
審核軟件時,應對每個關鍵組件進行單審核,并與整個程序一起進行審核。 搜索高風險漏洞并解決低風險漏洞是個好主意。 高風險和低風險之間的漏洞通常存在,具體取決于具體情況以及所使用的源代碼的使用方式。 應用程序滲透測試試圖通過在可能的訪問點上啟動盡可能多的已知攻擊技術來嘗試降低軟件中的漏洞,以試圖關閉應用程序。這是一種常見的審計方法,可用于查明是否存在任何特定漏洞,而不是源代碼中的漏洞。 一些人聲稱周期結束的審計方法往往會壓倒開發人員,終會給團隊留下一長串已知問題,但實際上并沒有多少改進; 在這些情況下,建議采用在線審計方法作為替代方案。
|
