1716281265608
源代码审计服务
源代码审计(Code Review)是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。
16309867114254b2461b1a812115a
  源代码审计(Code Review)是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。
      源代码审计服务的目的在于充分挖掘当前代码中存在的安全缺陷以及规范性缺陷,从而让开发人员了解其开发的应用系统可能会面临的威胁,并指导开发人员正确修复程序缺陷。
源代码审计是什么?
163117629131860227af32e560111
在漏洞挖掘过程中有两种重要的漏洞挖掘技术,分别是源代码审计和模糊测试。源代码审计是通过静态分析程序源代码,找出代码中存在的安全性问题;而模糊测试则需要将测试代码执行起来,然后通过构造各种类型的数据来判断代码对数据的处理是否正常,以发现代码中存在的安全性问题。
源代码审计与模糊测试区别
1631176291311dcc5ee8aea8a9f74
服 务 内 容
Service content
系统所用开源框架
包括反序列化漏洞,远程代码执行漏洞,spring、struts2安全漏洞,PHP安全漏洞等
应用代码关注要素
日志伪造漏洞,密码明文存储,资源管理,调试程序残留,二次注入,反序列化。
API滥用
不安全的数据库调用、随机数创建、内存管理调用、字符串操作,危险的系统方法调用。
368726f3022a1ea3414d7482c215ec5e
35e409c693cdbba542aa5aa9b0c7a917
a4bde3b5b84d5bf0395ad7141dda79ad
f997d8ea176fcd5efe30c1b5b937cb6a
错误处理不当
程序异常处理、返回值用法、空指针、日志记录。
5e5ad12a63b3444df8fd56ba7dc61ed9
源代码设计
不安全的域、方法、类修饰符未使用的外部引用、代码。
7515d7d94e1453d2befbe90a73a7d888
直接对象引用
直接引用数据库中的数据、文件系统、内存空间。
9a33134ccd8476ebc3308b7e47bfa3c5
资源滥用
不安全的文件创建/修改/删除,竞争冲突,内存泄露。
3bbde54a2a46aaaa2b7df3b232b8e5b0
业务逻辑错误
欺骗密码找回功能,规避交易限制,越权缺陷Cookies和session的问题。
c3f33ef0f26548246cc922feacb8cee8
规范性权限配置
数据库配置规范,Web服务的权限配置SQL语句编写规范。
  • 明确安全隐患点
    可以从整套源码切入最终明确至某个威胁点并加以验证
    可以从整套源码切入最终明确至某个威胁点并加以验证
  • 有效督促管理人员杜绝任何一处小的缺陷,从而降低整体风险
    提高安全意识
    有效督促管理人员杜绝任何一处小的缺陷,从而降低整体风险
  • 提升开发人员安全技能
    通过审计报告,以及安全人员与开发人员的沟通,开发人员更好的完善代码安全开发规范
    通过审计报告,以及安全人员与开发人员的沟通,开发人员更好的完善代码安全开发规范
企业做代码审计带来的好处!
我 们 的 服 务 特 点
ai5_158440
  • 降低成本,节省投资
    在格修科技为客户打造的年度服务方案中,服务人员第一次源代码审计的结果将会成为后续审计服务的参考依据,避免了单次服务中每次都会为某一特定问题所累,节省了审计时间,同时也降低了客户在每个阶段的投入。
  • 专家级解决方案,一切以解决问题为目标
    格修科技有着专业的安全服务团队,团队成员无论是在风险评估、安全加固、渗透测试,还是在源代码审计等领域均有着丰富的经验,所有问题的解决方案均由团队成员根据多年经验总结而来,方案确实可行。
  • 全程化服务,有效保证服务质量
    格修科技可以为客户提供约定期限内的全程化源代码审计服务。服务的过程不仅仅是帮助客户发现问题,也会为客户的问题修补提供专业的建议和指导,做到问题发现、修补、验证的全程跟踪,每一次服务都会在前一次的基础上寻找新的突破口,力求最大程度地保证审计目标的安全。
-955266549_-881116637_-1956478695
荣 誉 证 书
合作伙伴