代码审计

帮助企业从安全角度对应用系统的所有逻辑路径进行测试,通过分析源代码,充分挖掘代码中存在的安全缺陷以及规范性缺陷。找到普通安全测试所无法发现的如二次注入、反序列化、xml实体注入等安全漏洞。

立即咨询

为什么要做代码审计

系统所需

  • 新上线系统

    新上线系统对互联网环境的适应性较差,代码审计可以充分挖掘代码中存在的安全缺陷。避免系统刚上线就遇到重大攻击。

  • 已运行系统

    先于黑客发现系统的安全隐患,提前部署好安全防御措施,保证系统的每个环节在未知环境下都能经得起黑客挑战。

企业所得

  • 明确安全隐患点

    可以从整套源码切入最终明确至某个威胁点并加以验证

  • 提高安全意识

    有效督促管理人员杜绝任何一处小的缺陷,从而降低整体风险

  • 提升开发人员安全技能

    通过审计报告,以及安全人员与开发人员的沟通,开发人员更好的完善代码安全开发规范

服务内容

主要审计内容

  • 系统所用开源框架

    包含java反序列化漏洞,导致远程代码执行。Spring、Struts2的相关安全。

  • 应用代码关注要素

    日志伪造漏洞,密码明文存储,资源管理,调试程序残留,二次注入,反序列化。

  • API滥用

    不安全的数据库调用、随机数创建、内存管理调用、字符串操作,危险的系统方法调用。

  • 源代码设计

    不安全的域、方法、类修饰符未使用的外部引用、代码。

  • 错误处理不当

    程序异常处理、返回值用法、空指针、日志记录。

  • 直接对象引用

    直接引用数据库中的数据、文件系统、内存空间。

  • 资源滥用

    不安全的文件创建/修改/删除,竞争冲突,内存泄露。

  • 业务逻辑错误

    欺骗密码找回功能,规避交易限制,越权缺陷Cookies和session的问题。

  • 规范性权限配置

    数据库配置规范,Web服务的权限配置SQL语句编写规范。

服务优势

成功案例

联系我们

互联网客户电话

工作日:9:00-18:00

政企客户电话

工作日:9:00-18:00

官方微信

扫描关注官方微信

QQ在线咨询

工作日:9:00-18:00