服务内容
系统框架包括反序列漏洞、Struts2、spring框架安全漏洞、PHP安全漏洞等
源代码设计不安全的域、不安全的方法、不安全的类修饰符和未使用的代码等
对错误的处理程序在管理错误、日常、日志记录及敏感信息等方面
对象引用直接引用数据库中的数据、文件系统、内存空间三个方面
资源滥用不安全的文件操作、竞争冲突、内存泄露
API调用不安全的数据库调用、不安全的随机数创建、不恰当的内存管理调用、危险的系统方法调用等
满足合规要求
响应行业政策要求,对重点系统进行审计,满足上线要求、及基本防护要求等。
企业安全建设日常需求
对可能存在安全隐患、重要敏感信息系统、可能存在安全隐患的系统、新系统上线前等进行审计,减少因为代码引起的安全事件,提前排除应用系统的安全隐患。
系统框架包括反序列漏洞、Struts2、spring框架安全漏洞、PHP安全漏洞等
源代码设计不安全的域、不安全的方法、不安全的类修饰符和未使用的代码等
对错误的处理程序在管理错误、日常、日志记录及敏感信息等方面
对象引用直接引用数据库中的数据、文件系统、内存空间三个方面
资源滥用不安全的文件操作、竞争冲突、内存泄露
API调用不安全的数据库调用、不安全的随机数创建、不恰当的内存管理调用、危险的系统方法调用等
审计准备阶段
确认的源代码审计范围、最终对象、审计方式、审计要求和时间等内容
审计实施阶段
通过代码静态分析或者动态检测来发现代码缺陷,对每个代码缺陷进一步跟踪分析,确定该缺陷可能造成的安全影响
结果复测阶段
对源代码审计发现的问题整改或加固。经整改或加固后,技术人员进行回归检查,即二次检查
成果汇报阶段
根据两次审查结果,输出源代码审计成果报告,并汇报项目相关人员