源代码审计服务
背景
软件源代码、程序的缺陷可能导致严重的安全漏洞,对企业关键信息资产的安全也构成了严重威胁。要消除代码中的漏洞、减少不必要的补丁升级,就需要进行源代码的安全审计。源代码审计是对代码库和软件架构的安全性、可靠性进行全面安全检查,通过对开发人员的源代码分析结果与整个系统分析的全局信息进行关联分析,能防止严重的软件漏洞泄漏到代码流中。源代码审计已经成为真正保障软件源代码设计、开发和应用底层安全的最佳手段。

墨云科技公司通过将自动化分析工具与人工审查相结合的审计方式,对程序源代码逐条进行检查、分析,发现其中的错误信息、安全隐患和规范性缺陷问题,以及由这些问题引发的安全漏洞,并提供代码修订措施和建议。
应用场景
1新上线系统
新上线系统对互联网环境的适应性较差,代码审计可以充分挖掘代码中存在的安全缺陷。避免系统刚上线就遇到重大攻击。
2已运行系统
先于黑客发现系统的安全隐患,提前部署好安全防御措施,保证系统的每个环节在未知环境下都能经得起黑客挑战。
3提升开发人员安全技能
通过审计报告,以及安全人员与开发人员的沟通,开发人员更好地完善代码安全开发规范。
4明确安全隐患点
可从整套源代码切入最终明确至某个威胁点并加以验证。
5提高安全意识
有效的督促管理人员杜绝任何一处小的缺陷,从而降低整体风险。
服务内容
系统所用开源框架
包含java反序列化漏洞,导致远程代码执行。Spring、Strus2的相关安全。
应用代码关注要素
日志伪造漏洞,密码明文存储,资源管理,调试程序残留,二次注入,反序列化。
API滥用
不安全的数据库调用、随机数创建、内存管理调用、字符串操作,危险的统计方法调用。
源代码设计
不安全的域、方法、类修饰符未使用的外部引用、代码。
错误处理不当
程序异常处理、返回值用法、空指针、日志记录。
直接对象引用
直接引用数据库中的数据、文件系统、内存空间。
资源滥用
不安全的文件创建/修改/删除,竞争冲突,内存泄漏。
业务逻辑错误
欺骗密码找回功能,规避交易限制,越权缺陷Cookies和session的问题。
规范性权限配置
数据库配置规范,Web服务的权限配置SQL语句编写规范。
服务流程
1客户准备好带分析的完整项目程序代码,交付给墨云科技
2墨云科技使用自动化工具对代码进行扫描,得到扫描结果
3安全专家针对审计重点,进行深入人工代码审计,并复查和拓展工具的扫描结果
4综合工具和专家的发现,出具代码审计报告,给出漏洞详情和修复方法