您好,歡迎來到易龍商務網!
發(fā)布時間:2021-09-21 22:29
【廣告】
代碼審計的語言種類?
我們的代碼審計對象包括并不限于對Windows和Linux系統(tǒng)環(huán)境下的以下語言進行審核:java、C、C#、ASP、PHP、JSP、.NET。內容包括:
1.前后臺分離的運行架構
2.WEB服務的目錄權限分類
3.認證會話與應用平臺的結合
4.數據庫的配置規(guī)范
5.SQL語句的編寫規(guī)范
6.WEB服務的權限配置
7.對抗爬蟲引擎的處理措施
代碼審計——四款主流的源代碼掃描工具簡介
工欲善其事,必先利其器。
在源代碼的靜態(tài)安全審計中,使用自動化工具代替人工漏洞挖掘,可以顯著提高審計工作的效率。學會利用自動化代碼審計工具,是每一個代碼審計人員必備的能力。在學習PHP源代碼審計的過程中,本人搜集使用了多款自動化工具。本文將簡要介紹其中三款比較實用的工具:
Fortify SCA(Static Code Analyzer)是由Fortify軟件公司(已被惠普收購)開發(fā)的一款商業(yè)版源代碼審計工具。它使用的數據流分析技術,跨層跨語言地分析代碼的漏洞產生,目前支持所有的主流開發(fā)語言。Fortify SCA是一個靜態(tài)的、白盒的軟件源代碼安全測試工具。它通過內置的五大主要分析引擎:數據流、語義、結構、控制流、配置流等對應用軟件的源代碼進行靜態(tài)分析,分析的過程中與它特有的軟件安全漏洞規(guī)則進行地匹配、查找,從而將源代碼中存在的安全漏洞掃描出來,并給于整理報告。
Checkmarx的CxEnterprise靜態(tài)源代碼安全漏洞掃描和管理方案是一款比較的、綜合的源代碼安全掃描和管理方案,該方案提供用戶、角色和團隊管理、權限管理、掃描結果管理、掃描調度和自動化管理、掃描資源管理、查詢規(guī)則管理、掃描策略管理、更新管理、報表管理等多種企業(yè)環(huán)境下實施源代碼安全掃描和管理功能。
VeraCode靜態(tài)源代碼掃描分析服務平臺是商業(yè)運營好的平臺,數千家 軟件科技公司都在使用其服務發(fā)現軟件安全漏洞、質量缺陷。
什么場景下需要做代碼安全審計
1、合規(guī)驅動
新等保“自行軟件開發(fā)”及“外包軟件開發(fā)”中均有對代碼安全的要求;
2、軟件研發(fā)自身的安全隱患
普通軟件開發(fā)公司的缺陷密度為4~40個缺陷;
高水平的軟件公司的缺陷密度為2~4個缺陷;
美國NASA的軟件缺陷密度可達到0.1個缺陷;
3、安全事件
源代碼缺陷導致的安全事件,例如sql注入、跨站攻擊等,導致信息泄露、脫庫、提權等。
代碼安全審計能夠解決哪些安全問題
代碼檢查是審計工作中常用的技術手段,實際應用中,采用“自動分析 人工驗證”的方式進行。通常檢查項目包括:系統(tǒng)所用開源框架、源代碼設計、錯誤處理不當、直接對象引用、資源濫用、API濫用、后門代碼發(fā)現等,通常能夠識別如下代碼中的風險點:
跨站腳本漏洞、跨站請求偽裝漏洞、SQL注入漏洞、命令執(zhí)行漏洞、參數篡改、密碼明文存儲、配置文件缺陷、路徑操作錯誤、資源管理、不安全的Ajax調用、系統(tǒng)信息泄露、調試程序殘留、第三方控件漏洞、文件上傳漏洞、遠程命令執(zhí)行、遠程代碼執(zhí)行、越權操作、授權繞過漏洞。
