商業(yè)源代碼案例在線咨詢「在線咨詢」

代碼審計有哪些高風險漏洞？

代碼審計過程中一些常見的高風險漏洞：

1、非邊界檢查函數(shù)（例如，strcpy，sprintf，vsprintf和sscanf）可能導致緩沖區(qū)溢出漏洞

2、可能干擾后續(xù)邊界檢查的緩沖區(qū)的指針操作，例如：if（（bytesread = net_read（buf，len））> 0）buf = bytesread;

3、調(diào)用像execve（），執(zhí)行管道，system（）和類似的東西，尤其是在使用非靜態(tài)參數(shù)調(diào)用時

4、輸入驗證，例如（在SQL中）：statement：=“SELECt * FROM users WHERe name ='” userName “';”是一個SQL注入漏洞的示例

5、文件包含功能，例如（在PHP中）：include（$ page。'。php'）;是遠程文件包含漏洞的示例

6、對于可能與惡意代碼鏈接的庫，返回對內(nèi)部可變數(shù)據(jù)結(jié)構(gòu)（記錄，數(shù)組）的引用。惡意代碼可能會嘗試修改結(jié)構(gòu)或保留引用以觀察將來的更改。

源代碼審計解決方案

服務(wù)描述

源代碼審計就是檢查源代碼中的安全缺陷，開展源代碼安全審計能夠降低源代碼出現(xiàn)的安全漏洞，構(gòu)建安全的代碼，提高源代碼的可靠性，提高應(yīng)用系統(tǒng)自身的安全防護能力。

◆ 服務(wù)流程

代碼審計服務(wù)針對系統(tǒng)開發(fā)過程中的編碼階段、測試階段、交付驗收階段、對各階段系統(tǒng)源代碼進行安全審計檢測，利用數(shù)據(jù)流分析引擎、語義分析引擎、控制流分析引擎等技術(shù)，采用的源代碼安全審計工具對源代碼安全問題進行分析和檢測并驗證，從而對源代碼安全漏洞進行定級，給出安全漏洞分析報告等，幫助軟件開發(fā)的管理人員統(tǒng)計和分析當前階段軟件安全的威脅、趨勢，跟蹤和安全漏洞，提供軟件安全質(zhì)量方面的真實狀態(tài)信息。

◆ 服務(wù)價值

1.源代碼審計工作先于攻擊者發(fā)現(xiàn)應(yīng)用軟件、程序中的安全漏洞，有助于客戶及時做好代碼加固工作；

2.源代碼審計以代碼安全為關(guān)注視角，以發(fā)現(xiàn)程序安全漏洞為目標，可提升軟件開發(fā)人員的安全編程能力。

怎么做代碼安全審計

      首先客戶提出代碼安全審計要求，內(nèi)容包括測試范圍和時間，在提交《代碼審計申請》與源代碼時，附帶《免責聲明》一起給客戶，客戶收到申請與免責聲明之后，確認審計范圍與時間無誤之后。客戶提交給項目接口人，接口人進行工作量臺賬記錄，然后由項目負責人進行工作安排，開始編寫代碼審計方案，經(jīng)過客戶方面認可代碼審計方案后，開始實施代碼審計工作，在審計過程中通過代碼審計設(shè)備進行詳細審計記錄，通過信息收集、漏洞分析和成果整理編寫出《代碼審計報告》，并提交給客戶，并協(xié)助完成漏洞修復。

      在漏洞修復工作之后，項目組進行代碼審計復測，并輸出《代碼審計復測報告》，在客戶方確認之后，單個系統(tǒng)代碼審計工作完成。

代碼安全審計需要做什么準備工作

      在代碼審計前期準備階段，項目組將根據(jù)業(yè)務(wù)系統(tǒng)的實際情況定制訪談材料，采用文檔審核和訪談方式對業(yè)務(wù)軟件功能、架構(gòu)、運行環(huán)境和編程語言等實際情況進行調(diào)研。了解業(yè)務(wù)系統(tǒng)的開發(fā)環(huán)境、架構(gòu)、安全現(xiàn)狀以及運行環(huán)境等可能對業(yè)務(wù)系統(tǒng)安全性產(chǎn)生影響的各種因素。同時會準備代碼審計工具、務(wù)系統(tǒng)測試系統(tǒng)等環(huán)境，為代碼審查工作的開展提供必要條件。