EN
企业微信截图_17231063188969
  • 源代码审计(Code Review)是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。 源代码审计服务的目的在于充分挖掘当前代码中存在的安全缺陷以及规范性缺陷,从而让开发人员了解其开发的应用系统可能会面临的威胁,并指导开发人员正确修复程序缺陷。
    源代码审计是什么?
    源代码审计(Code Review)是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。 源代码审计服务的目的在于充分挖掘当前代码中存在的安全缺陷以及规范性缺陷,从而让开发人员了解其开发的应用系统可能会面临的威胁,并指导开发人员正确修复程序缺陷。
  • 在漏洞挖掘过程中有两种重要的漏洞挖掘技术,分别是源代码审计和模糊测试。源代码审计是通过静态分析程序源代码,找出代码中存在的安全性问题;而模糊测试则需要将测试代码执行起来,然后通过构造各种类型的数据来判断代码对数据的处理是否正常,以发现代码中存在的安全性问题。
    源代码审计与模糊测试区别
    在漏洞挖掘过程中有两种重要的漏洞挖掘技术,分别是源代码审计和模糊测试。源代码审计是通过静态分析程序源代码,找出代码中存在的安全性问题;而模糊测试则需要将测试代码执行起来,然后通过构造各种类型的数据来判断代码对数据的处理是否正常,以发现代码中存在的安全性问题。
服务内容
  • 包括反序列化漏洞,远程代码执行漏洞,spring、struts2安全漏洞,PHP安全漏洞等。
    系统所用开源框架
    包括反序列化漏洞,远程代码执行漏洞,spring、struts2安全漏洞,PHP安全漏洞等。
  • 日志伪造漏洞,密码明文存储,资源管理,调试程序残留,二次注入,反序列化。
    应用代码关注要素
    日志伪造漏洞,密码明文存储,资源管理,调试程序残留,二次注入,反序列化。
  • 不安全的数据库调用、随机数创建、内存管理调用、字符串操作,危险的系统方法调用。
    API滥用
    不安全的数据库调用、随机数创建、内存管理调用、字符串操作,危险的系统方法调用。
  • 程序异常处理、返回值用法、空指针、日志记录。
    错误处理不当
    程序异常处理、返回值用法、空指针、日志记录。
  • 不安全的域、方法、类修饰符未使用的外部引用、代码。
    源代码设计
    不安全的域、方法、类修饰符未使用的外部引用、代码。
  • 直接引用数据库中的数据、文件系统、内存空间。
    直接对象引用
    直接引用数据库中的数据、文件系统、内存空间。
  • 不安全的文件创建/修改/删除,竞争冲突,内存泄露。
    资源滥用
    不安全的文件创建/修改/删除,竞争冲突,内存泄露。
  • 欺骗密码找回功能,规避交易限制,越权缺陷Cookies和session的问题。
    业务逻辑错误
    欺骗密码找回功能,规避交易限制,越权缺陷Cookies和session的问题。
  • 数据库配置规范,Web服务的权限配置SQL语句编写规范。
    规范性权限配置
    数据库配置规范,Web服务的权限配置SQL语句编写规范。
企业做代码审计带来的好处!
  • 明确安全隐患点
    可以从整套源码切入最终明确至某个威胁点并加以验证
    可以从整套源码切入最终明确至某个威胁点并加以验证
  • 有效督促管理人员杜绝任何一处小的缺陷,从而降低整体风险
    提高安全意识
    有效督促管理人员杜绝任何一处小的缺陷,从而降低整体风险
  • 提升开发人员安全技能
    通过审计报告,以及安全人员与开发人员的沟通,开发人员更好的完善代码安全开发规范
    通过审计报告,以及安全人员与开发人员的沟通,开发人员更好的完善代码安全开发规范
我们的服务特点
  • 格修科技可以为客户提供约定期限内的全程化源代码审计服务。服务的过程不仅仅是帮助客户发现问题,也会为客户的问题修补提供专业的建议和指导,做到问题发现、修补、验证的全程跟踪,每一次服务都会在前一次的基础上寻找新的突破口,力求最大程度地保证审计目标的安全。
    全程化服务,有效保证服务质量
    格修科技可以为客户提供约定期限内的全程化源代码审计服务。服务的过程不仅仅是帮助客户发现问题,也会为客户的问题修补提供专业的建议和指导,做到问题发现、修补、验证的全程跟踪,每一次服务都会在前一次的基础上寻找新的突破口,力求最大程度地保证审计目标的安全。
  • 格修科技有着专业的安全服务团队,团队成员无论是在风险评估、安全加固、渗透测试,还是在源代码审计等领域均有着丰富的经验,所有问题的解决方案均由团队成员根据多年经验总结而来,方案确实可行。
    专家级解决方案,一切以解决问题为目标
    格修科技有着专业的安全服务团队,团队成员无论是在风险评估、安全加固、渗透测试,还是在源代码审计等领域均有着丰富的经验,所有问题的解决方案均由团队成员根据多年经验总结而来,方案确实可行。
  • 在格修科技为客户打造的年度服务方案中,服务人员第一次源代码审计的结果将会成为后续审计服务的参考依据,避免了单次服务中每次都会为某一特定问题所累,节省了审计时间,同时也降低了客户在每个阶段的投入。
    降低成本,节省投资
    在格修科技为客户打造的年度服务方案中,服务人员第一次源代码审计的结果将会成为后续审计服务的参考依据,避免了单次服务中每次都会为某一特定问题所累,节省了审计时间,同时也降低了客户在每个阶段的投入。
我们的优势

质优价实 | 专业团队 | 客户至上

  • CCRC信息安全风险评估资质 ITSS信息技术服务标准认证 ISO9001质量管理体系认证
    资质齐全
    CCRC信息安全风险评估资质 ITSS信息技术服务标准认证 ISO9001质量管理体系认证
  • 我们深刻明白客户对质量和价格的追求,通过持续提升自身技术和效率,为客户提供专业优质但价格实在的高质量安全服务
    质优价实
    我们深刻明白客户对质量和价格的追求,通过持续提升自身技术和效率,为客户提供专业优质但价格实在的高质量安全服务
  • 国际注册信息系统安全专家CISSP 国际注册信息系统审计师CISA 国际注册隐私安全保护专家CDPSE IT服务体系认证人员ITIL4 注册信息安全专业人员CISP 信息安全专业保障人员CISAW
    专业团队
    国际注册信息系统安全专家CISSP 国际注册信息系统审计师CISA 国际注册隐私安全保护专家CDPSE IT服务体系认证人员ITIL4 注册信息安全专业人员CISP 信息安全专业保障人员CISAW
  • 公司秉持“客户至上”的核心价值理念,关注客户核心问题和需求,以帮助客户解决问题、客户满意为追求
    客户至上
    公司秉持“客户至上”的核心价值理念,关注客户核心问题和需求,以帮助客户解决问题、客户满意为追求
企业资质和荣誉

你信任的品牌,都信赖格修

全国1000+大型客户共同的选择

你信任的品牌,都信赖格修

support@knowdosec.com 
Copyright © 2021-2025 格修科技(北京)有限公司All rights reserved.
京ICP备2024060047号-2
img_load
400-812-521
咨询热线:
关注格修
描述