99%的大型網站都被拖過庫,泄漏了大量用戶數據。提前做好代碼審計工作,將先於黑客發現系統的安全隱患,提前部署好安全防禦措施,保證系統的每個環節在未知環境下都能經得起黑客挑戰,進壹步鞏固客戶對企業及平臺的信賴。入侵者可以利用的漏洞有:
1. 軟件編寫存在bug
2. 系統配置不當
3. 口令失竊
4. 嗅探未加密通訊數據
5. 設計存在缺陷
6. 系統攻擊
哪些業務場景需要做好代碼審計工作?
代碼審計的對象主要是PHP、JAVA、asp、.NET等與Web相關的語言:
1. 即將上線的新系統平臺;
2. 存在156大量用戶訪問6991、高可用、3780高並發請求的網站;
3. 存在用戶資料等敏感機密信息的企業平臺;
4. 互聯網金融類存在業務邏輯問題的企業平臺;
5. 開發過程中對重要業務功能需要進行局部安全測試的平臺;
鏈獅安應用團隊提供怎樣的代碼審計服務?優勢有哪些?
代碼檢查是審計工作中最常用的技術手段,實際應用中,采用“自動分析+人工驗證”的方式進行。鏈獅提供的檢查項目包括:
跨站腳本漏洞、跨站請求偽裝漏洞、SQL註入漏洞、命令執行漏洞、日誌偽造漏洞、參數篡改、密碼明文存儲、配置文件缺陷、路徑操作錯誤、資源管理、不安全的Ajax調用、系統信息泄露、調試程序殘留、第三方控件漏洞、文件上傳漏洞、遠程命令執行、遠程代碼執行、越權下載、授權繞過漏洞。
了解整體代碼審計和功能點人工代碼審計區別嗎?
整體代碼審計是指代碼審計服務人員對被審計系統的所有源代碼進行整體的安全審計,代碼覆蓋率為100%,整體代碼審計采用源代碼掃描和人工分析確認相結合的方式進行分析,發現源代碼存在的安全漏洞。但整體代碼審計屬於白盒靜態分析,僅能發現代碼編寫存在的安全漏洞,無法發現業務功能存在的缺陷。 整體代碼審計付出的時間、代價很高,也很難真正讀懂這壹整套程序,更難深入了解其業務邏輯。這種情況下,根據功能點定向審計、通過工具做接口測試等,能夠提高審計速度,更適合企業使用。
功能點人工代碼審計是對某個或某幾個重要的功能點的源代碼進行人工代碼審計,發現功能點存在的代碼安全問題,能夠發現壹些業務邏輯層面的漏洞。功能點人工代碼審計需要收集系統的設計文檔、系統開發說明書等技術資料,以便代碼審計服務人員能夠更好的了解系統業務功能。由於人工代碼審計工作量極大,所以需要分析並選擇重要的功能點,有針對性的進行人工代碼審計。
鏈獅的安全工程師都具備多年代碼審計經驗,首先通覽程序的大體代碼結構,在根據文件的命名第壹時間辨識核心功能點、重要接口。下面就介紹幾個功能、接口經常會出現的漏洞:
1. 登陸認證
a. 任意用戶登錄漏洞
b. 越權漏洞
2. 找回密碼
a. 驗證碼爆破漏洞
b. 重置管理員密碼漏洞
3. 文件上傳
a. 任意文件上傳漏洞
b. SQL註入漏洞
4. 在線支付,多為邏輯漏洞
a. 支付過程中可直接修改數據包中的支付金額
b. 沒有對購買數量進行負數限制
c. 請求重訪
d. 其他參數幹擾
5. 接口漏洞
a. 操作數據庫的接口要防止sql註入
b. 對外暴露的接口要註意認證安全