版权归作者所有,转载请注明出处
做项目为何会把代码审计放在重要的审查地位
代码审计(Code audit)属于186高级2687渗透2983测试服务,但代码覆盖率能达到100%,是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析,能够找到普通安全测试所无法发现的安全漏洞。代码审计的操作需要运作在企业安全运营的场景当中,安全工程师需要了解整个应用的业务逻辑,才能挖掘到更多更有价值的漏洞。
99%的大型网站都被拖过库,泄漏了大量用户数据。提前做好代码审计工作,将先于黑客发现系统的安全隐患,提前部署好安全防御措施,保证系统的每个环节在未知环境下都能经得起黑客挑战,进一步巩固客户对企业及平台的信赖。入侵者可以利用的漏洞有:
- 软件编写存在bug
- 系统配置不当
- 口令失窃
- 嗅探未加密通讯数据
- 设计存在缺陷
- 系统攻击
哪些业务场景需要做好代码审计工作?
代码审计的对象主要是PHP、JAVA、asp、.NET等与Web相关的语言:
- 即将上线的新系统平台;
- 存在大量用户访问、高可用、高并发请求的网站;
- 存在用户资料等敏感机密信息的企业平台;
- 互联网金融类存在业务逻辑问题的企业平台;
- 开发过程中对重要业务功能需要进行局部安全测试的平台;
代码检查是审计工作中最常用的技术手段,实际应用中,采用“自动分析+人工验证”的方式进行检查项目包括:系统所用开源框架、源代码设计、错误处理不当、直接对象引用、资源滥用
推荐文章
评论(0)
