-
行业解决方案
我们的服务
- 快速下单
- 华测学堂
- 资源中心
- 关于华测
测试服务
认证服务
检验服务
计量校准
培训服务
审核评估
能力验证
标物/质控样
环境
食品农产品
化妆品及日化用品
纺织服装及鞋包
婴童玩具及轻工产品
医药及医学
电子电器
芯片及半导体
可持续发展
建材及建筑工程
工业制造与材料
数字化服务
能源化工
汽车和航空材料
轨道交通
海事服务
ESG服务
实验室设计及建设
标物中心
能力验证
SSL证书
检测服务
培训服务
检验/审核
代码审计服务
网络安全-代码审计服务
源代码审计(Code Review)是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。 源代码审计服务的目的在于充分挖掘当前代码中存在的安全缺陷以及规范性缺陷,从而让开发人员了解其开发的应用系统可能会面临的威胁,并指导开发人员正确修复程序缺陷。
服务背景
网络安全事件中,多数是由于源代码存在漏洞导致黑客趁虚而入,由于代码的公开性使得黑客容易掌握代码缺陷,进一步利用代码缺陷触发条件改变智能合约执行结果,使得网络平台存在巨大的安全隐患。
但是对于程序员而言,即使采取所有可能的预防措施,在复杂的软件中总会出现无法预料到的漏洞。因此,代码安全审计至关重要。
服务内容
代码审计服务的范围包括使用Java,JSP,C,C++,.NET(C#),XML,ASP,PHP,JS,VB等主流语言开发的B/S、C/S应用系统,以及使用XML语言编写的文件、SQL语言和数据库存储过程等,运行环境支持Windows,Red Hat Linux,Ubuntu,Centos,麒麟Linux等主流系统。
源代码安全审计服务从数据流分析、控制流分析、语义分析、配置分析、结构分析等五个方面全面分析软件源代码安全问题。
借助源代码分析工具,针对信息系统源代码扫描、分析,语言方面可以支持:Java/JSP C/C++, .NET平台,TSQL/PLSQL, Cold Fusion,XML,CFML,ASP,PHP,JS,VB等。操作系统方面支持:Windows, Solaris, Red Hat Linux, Mac OS X, HP-UX, IBM AIX等并对导致安全漏洞的错误代码进行定位和验证,提供修复方案。
1、系统所用开源框架
包括反序列化漏洞,远程代码执行漏洞,spring、struts2安全漏洞,PHP安全漏洞等。
2、应用代码关注要素
日志伪造漏洞,密码明文存储,资源管理,调试程序残留,二次注入,反序列化。
3、API滥用
不安全的数据库调用、随机数创建、内存管理调用、字符串操作,危险的系统方法调用。
4、源代码设计
不安全的域、方法、类修饰符未使用的外部引用、代码。
5、错误处理不当
程序异常处理、返回值用法、空指针、日志记录。
6、直接对象引用
直接引用数据库中的数据、文件系统、内存空间。
7、资源滥用
不安全的文件创建/修改/删除,竞争冲突,内存泄露。
8、规范性权限配置
数据库配置规范,Web服务的权限配置SQL语句编写规范。
9、业务逻辑错误
欺骗密码找回功能,规避交易限制,越权缺陷Cookies和session的问题。
业务范围
1、新上线系统
新上线系统对互联网环境的适应性较差,代码审计可以充分挖掘代码中存在的安全缺陷。避免系统刚上线就遇到重大攻击。
2、已运行系统
先于黑客发现系统的安全隐患,提前部署好安全防御措施,保证系统的每个环节在未知环境下都能经得起黑客挑战。
3、确保代码质量
程序的安全性是否有保障很大程度上取决于程序代码的质量,而保证代码质量最快捷有效的手段就是源代码审计。
服务流程
一键下单 流程透明
专业服务 权威公正
传递信任 彰显品质
根植中国 服务世界
- 热线电话
- 业务咨询
- 快速询价
- 在线客服
- 报告验证