商業源代碼案例在線咨詢「在線咨詢」

代碼審計有哪些高風險漏洞？

代碼審計過程中一些常見的高風險漏洞：

1、非邊界檢查函數（例如，strcpy，sprintf，vsprintf和sscanf）可能導致緩沖區溢出漏洞

2、可能干擾后續邊界檢查的緩沖區的指針操作，例如：if（（bytesread = net_read（buf，len））> 0）buf = bytesread;

3、調用像execve（），執行管道，system（）和類似的東西，尤其是在使用非靜態參數調用時

4、輸入驗證，例如（在SQL中）：statement：=“SELECt * FROM users WHERe name ='” userName “';”是一個SQL注入漏洞的示例

5、文件包含功能，例如（在PHP中）：include（$ page。'。php'）;是遠程文件包含漏洞的示例

6、對于可能與惡意代碼鏈接的庫，返回對內部可變數據結構（記錄，數組）的引用。惡意代碼可能會嘗試修改結構或保留引用以觀察將來的更改。

源代碼審計解決方案

服務描述

源代碼審計就是檢查源代碼中的安全缺陷，開展源代碼安全審計能夠降低源代碼出現的安全漏洞，構建安全的代碼，提高源代碼的可靠性，提高應用系統自身的安全防護能力。

◆ 服務流程

代碼審計服務針對系統開發過程中的編碼階段、測試階段、交付驗收階段、對各階段系統源代碼進行安全審計檢測，利用數據流分析引擎、語義分析引擎、控制流分析引擎等技術，采用的源代碼安全審計工具對源代碼安全問題進行分析和檢測并驗證，從而對源代碼安全漏洞進行定級，給出安全漏洞分析報告等，幫助軟件開發的管理人員統計和分析當前階段軟件安全的威脅、趨勢，跟蹤和安全漏洞，提供軟件安全質量方面的真實狀態信息。

◆ 服務價值

1.源代碼審計工作先于攻擊者發現應用軟件、程序中的安全漏洞，有助于客戶及時做好代碼加固工作；

2.源代碼審計以代碼安全為關注視角，以發現程序安全漏洞為目標，可提升軟件開發人員的安全編程能力。

怎么做代碼安全審計

      首先客戶提出代碼安全審計要求，內容包括測試范圍和時間，在提交《代碼審計申請》與源代碼時，附帶《免責聲明》一起給客戶，客戶收到申請與免責聲明之后，確認審計范圍與時間無誤之后。客戶提交給項目接口人，接口人進行工作量臺賬記錄，然后由項目負責人進行工作安排，開始編寫代碼審計方案，經過客戶方面認可代碼審計方案后，開始實施代碼審計工作，在審計過程中通過代碼審計設備進行詳細審計記錄，通過信息收集、漏洞分析和成果整理編寫出《代碼審計報告》，并提交給客戶，并協助完成漏洞修復。

      在漏洞修復工作之后，項目組進行代碼審計復測，并輸出《代碼審計復測報告》，在客戶方確認之后，單個系統代碼審計工作完成。

代碼安全審計需要做什么準備工作

      在代碼審計前期準備階段，項目組將根據業務系統的實際情況定制訪談材料，采用文檔審核和訪談方式對業務軟件功能、架構、運行環境和編程語言等實際情況進行調研。了解業務系統的開發環境、架構、安全現狀以及運行環境等可能對業務系統安全性產生影響的各種因素。同時會準備代碼審計工具、務系統測試系統等環境，為代碼審查工作的開展提供必要條件。