代码审计服务
代码审计服务概述
代码审计服务也称之为白盒测试,是由专业的代码审计团队来完成,团队从黑客的角度出发,模拟攻击者的思考方式对贵公司代码的编码质量及安全性严谨性进行验证审核,以及进行各种入侵攻击测试+白盒安全审计的方法挖掘出高危安全威胁和致命漏洞的一种安全服务。
审计执行期间,网络安全专家会以白盒的方式验证单位的设备/系统与资料是否可被破坏或窃取,以及漏洞是否供给成功,后门是否存在。同时也评估信息系统与硬件的全盘系统架构,确认其安全性是否有待加强。
审计结束后,网络安全专家会列出详细的审计手法与步骤,提供完整的修补建议并协助单位修补漏洞,让单位能迅速降低遭受入侵的风险。漏洞、后门经过单位修补完毕后,审计团队会再次确认是否可使用其他手法绕过防护,以确保单位不会因为同样的问题遭受损失。
代码审计目的及作用
代码审计将先于黑客发现您的系统安全隐患,提前部署好安全防御措施,保证系统的每个环节在未来都能经得起黑客挑战,进一步巩固客户对单位及平台的信赖。以下情况都务必要涉及到代码审计服务:
Ø 企业被黑应急,快速挖掘代码漏洞和黑客后门;
Ø 企业内部审计,抓出内鬼;
Ø 企业、网站有机密资料外泄、用户资料外泄等担忧;
Ø 开发完毕的新系统(或APP)需要上线,或者应用存在漏洞被利用;
Ø 开发过程中系统需要做整体性安全测试;
Ø 业务系统存在交易业务漏洞;
Ø 建设了完善的安全体系之后,需要评估测试整个体系的实际安全防御能力。
代码安全审计以发现应用程序编码过程中造成的安全漏洞为目的,通过源代码静态分析工具,对已有的代码进行扫描、分析,并通过人工对导致安全漏洞的错误代码进行定位和验证,然后提供补救建议。实施代码安全审计的三个步骤:
1.确定源代码安全审计目标;
2.执行工具扫描及人工查看相结合并分析验证扫描结果;
3.分析应用程序架构所特有的代码安全问题。
通过代码审计服务,单位可以从攻击角度了解系统是否会存在隐性漏洞和安全风险,特别是在进行安全项目之前进行安全审计,可以对信息系统的安全性得到较深的感性认知,有助于后续的进一步健全安全建设体系;代码审计完毕后,也可以帮助单位更好的验证经过安全保护后的网络是否真实的达到了预定安全目标、遵循了安全策略、符合安全合规的要求。
代码审计适用程序
代码安全审计适用于以C、C++、C#、Java、VB、VB.Net、ABAP等语言开发的应用程序,以及以Ruby、PHP、AJAX和Perl等在内的各种Web技术编写的应用程序。代码安全审计的对象可以是一个应用程序的全部代码,也可以是其中的一部分代码。
代码漏洞风险点
代码审计服务通过汇总众多用户案例,总结了出以下这些代码漏洞风险点:
审计范围 | 风险点 | 漏洞细节 | |
代码审计 | 通用前端安全审计 | XSS | 反射型 |
存储型 | |||
Dom XSS | |||
Flash XSS | |||
CSRF | FLASH CSRF | ||
GET CSRF | |||
POST CSRF | |||
Clickjacking | |||
XSCH | |||
JSON | json劫持 | ||
权限劫持 | |||
HTTP Splitting | |||
Code Injection | |||
XML Injection | |||
XPATH Injection | |||
MISC Atttack | |||
通用后端安全审计 | 文件系统漏洞 | 上传 | |
下载 | |||
读取 | |||
LFI | |||
RFI | |||
数据库攻击 | SQL Injection | ||
Sub Topic | |||
服务器攻击 | LDAP Injection | ||
SSRF | |||
信息泄漏 | 数据库信息泄漏 | ||
服务器信息泄漏 | |||
业务信息泄漏 | |||
会话攻击 | 会话爆破 | ||
回话猜测 | |||
拒绝服务攻击 | 慢查询攻击 | ||
业务拒绝攻击 | |||
软件漏洞攻击 | |||
第三方资源攻击 | |||
中间件安全 | 命令执行漏洞 | ||
权限控制漏洞 | |||
拒绝服务漏洞 | |||
信息泄漏漏洞 | |||
核心业务安全审计 | 会话攻击 | 验证码攻击 | |
短信攻击 | |||
会话劫持 | |||
会话伪造 | |||
会话预测 | |||
业务授权 | 未授权访问 | ||
平行权限 | |||
越权访问 | |||
业务流程 | 业务流程乱序 | ||
业务流程重放 | |||
业务逻辑混乱 | |||
业务接口 | 恶意注册 | ||
验证漏洞 | |||
短信炸弹 | |||
交易安全性 | 交易金额 | ||
交易数据 | |||
交易行为 | |||
交易频率 | |||
交易逻辑 | |||
购买逻辑 | |||
业务一致性 | 身份标识 | ||
订单数据 | |||
用户管理框架 | 身份认证攻击 | ||
密码找回攻击 | |||
拒绝攻击 | |||
撞库攻击 | |||
用户注册 | |||
业务数据安全性 | 前端数据篡改 | ||
业务数据泄漏 | |||
数据重放 | |||
数据并发 | |||
流程时效性 | 频度控制 | ||
跨度控制 | |||
系统风险评估 | 信息泄漏风险 | ||
平台稳定性 | |||
业务稳定性 | |||
深度漏洞挖掘 | 针对特定语言的特性攻击 | ||
针对特定容器特性的攻击 | |||
针对特定服务器环境的攻击 | |||
针对特定网络架构的攻击 | |||
针对特定代码组件的攻击 | |||
针对特定代码框架的攻击 | |||
针对特定版本的攻击 | |||
广度漏洞挖掘 | 数据加密 | ||
随机性碰撞 | |||
权限漏洞 | |||
数据存储,查询 | |||
数据展示 | |||
非预期性缺陷 | |||
公开漏洞二次挖掘 | |||
第三方应用审计 | 第三方资源引用安全 | 短信接口 | |
邮件接口 | |||
支付接口 | |||
第三方服务接口 | |||
其他资源 | |||
第三方验证机制安全 | 统一登录 | ||
数据劫持 | |||
钓鱼风险 | |||
同步服务 | 权限同步 | ||
数据同步 | |||
对外接口安全性 | 频度 | ||
权限 | |||
稳定性 | |||
后门发现 | WEBSHELL | 内鬼 黑客 开发商 | |
数据库后门 | |||
逻辑后门 | |||
框架后门 | |||
升级后门 | |||
劫持后门 |
代码审计服务项目
源代码安全现状测评
针对系统源代码进行安全审计检测,利用数据流分析引擎、语义分析引擎、控制流分析引擎等技术,采用专业的源代码安全审计工具对源代码安全问题进行分析和检测并验证,从而对源代码安全漏洞进行定级,并由安全人员验证其有效性和危害程度。最终报告将帮助软件开发的管理人员统计和分析当前阶段软件安全的风险、趋势,跟踪和定位软件安全漏洞,提供软件安全质量方面的真实状态信息。
源代码整改咨询
依据源代码安全测评结果,对源代码安全漏洞进行人工审计,并依据安全漏洞问题给出相应修改建议,协助系统开发人员对源代码进行修改。
提供代码审计报告
代码安全审计的交付物为审计报告,其内容包括:
① 详细说明被审计代码的总体情况、审计发现的问题、进行追加审计的建议,以及针对已确定漏洞进行补救的建议。
② 所使用的开发技术和编程语言中常见的错误;
③ 对黑客有兴趣的资产、代码实现上的错误;
④ 每一个已识别漏洞的报告,包括漏洞的概述、影响和严重性以及再现该漏洞的步骤和可用于修复该漏洞缺陷的补救措施建议。
安全编码规范及规则咨询
在软件编码之前,通过安全攻防组人员测试经验,为系统开发人员提供安全编码规范、规则的咨询和建议,提前避免不安全的编码方式,提高源代码自身的安全性。
安全巡检评估确认
巡检安全服务
代码审计结束后,审计团队会对指定的范围进行安全检查,再次确认是否可使用其他手法绕过防护,来发现信息系统在日常运维过程中可能存在的安全隐患,分析系统运维过程的不足,并给出相应的安全解决建议,以确保单位不会因为同样的问题遭受损失。
代码审计脑图
