代码审计

帮助企业从安全角度对应用系统的所有逻辑路径进行测试,通过分析源代码,充分挖掘代码中存在的安全缺陷以及规范性缺陷。找到普通安全测试所无法发现的如二次注入、反序列化、xml实体注入等安全漏洞。

立即咨询
代码审计 banner

为什么要做代码审计

新上线系统

新上线系统

新上线系统对互联网环境的适应性较差,代码审计可以充分挖掘代码中存在的安全缺陷。避免系统刚上线就遇到重大攻击。

已运行系统

已运行系统

先于黑客发现系统的安全隐患,提前部署好安全防御措施,保证系统的每个环节在未知环境下都能经得起黑客挑战。

Mt.Gox被黑客攻击导致破产

明确安全隐患点

可从整套源代码切入最终明确至某个威胁点并加以验证。

Tumblr超6500万邮箱账号密码遭泄露

提高安全意识

有效防止管理人员遗漏缺陷,从而降低整体风险。

网络安全法,要求漏洞检查

提升开发人员安全技能

通过审计报告,以及安全人员与开发人员的沟通,开发人员更好的完善代码安全开发规范。

服务内容

主要审计内容

系统所用开源框架

系统所用开源框架

包含java反序列化漏洞,导致远程代码执行。Spring、Struts2的相关安全。

应用代码关注要素

应用代码关注要素

日志伪造漏洞,密码明文存储,资源管理,调试程序残留,二次注入,反序列化。

API滥用

API滥用

不安全的数据库调用、随机数创建、内存管理调用、字符串操作,危险的系统方法调用。

源代码设计

源代码设计

不安全的域、方法、类修饰符未使用的外部引用、代码。

错误处理不当

错误处理不当

程序异常处理、返回值用法、空指针、日志记录。

直接对象引用

直接对象引用

直接引用数据库中的数据、文件系统、内存空间。

资源滥用

资源滥用

不安全的文件创建/修改/删除,竞争冲突,内存泄露。

业务逻辑错误

业务逻辑错误

欺骗密码找回功能,规避交易限制,越权缺陷Cookies和session的问题。

规范性权限配置

规范性权限配置

数据库配置规范,Web服务的权限配置SQL语句编写规范。

服务优势

安全团队能力强

安全团队能力强

两届CTF冠军,一届季军;有政府、金融、电商、能源、教育等多个领域的安全项目经验以及丰富的安全编码经验。

检查项专业

检查项专业

检查类别涉及27大类,177个检查项;同时提供不同等级检查项供选择。

交付体贴周到

交付体贴周到

完善的报告交付要求,全程项目管控,实时在线问答。

售前支持

400-161-0866

联系企业微信客服