web代码审计报告欢迎来电「多面魔方」

什么是代码审计？

代码审计顾名思义就是检查源代码中的安全缺陷，检查程序源代码是否存在安全隐患，或者有编码不规范的地方，通过自动化工具或者人工审查的方式，对程序源代码逐条进行检查和分析，发现这些源代码缺陷引发的安全漏洞，并提供代码修订措施和建议。

代码审计（Code audit）是一种以发现程序错误，安全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目中源代码的分析，旨在发现错误，安全漏洞或违反编程约定。 它是防御性编程范例的一个组成部分，它试图在软件发布之前减少错误。 C和C ++源代码是常见的审计代码，因为许多语言（如Python）具有较少的潜在易受攻击的功能（例如，不检查边界的函数）。

什么场景下需要做代码安全审计

1、合规驱动

新等保“自行软件开发”及“外包软件开发”中均有对代码安全的要求；

2、软件研发自身的安全隐患

普通软件开发公司的缺陷密度为4～40个缺陷；

高水平的软件公司的缺陷密度为2～4个缺陷；

美国NASA的软件缺陷密度可达到0.1个缺陷；

3、安全事件

源代码缺陷导致的安全事件，例如sql注入、跨站攻击等，导致信息泄露、脱库、提权等。

代码审计服务流程

1、准备阶段

      在代码审计前期准备阶段，项目组将对业务软件功能、架构、运行环境和编程语言等实际情况进行调研，为代码审查工作的开展提供必要条件。

2、审核阶段

      前期准备工作完成后将进入代码审核阶段，主要采用人工审核为主和自动化审计工具辅助的方式进行安全审计，通过审计发现安全缺陷并定位到具体的代码给出整改建议。

3、制作报告

      对于审计发现的问题，我们会对发现的问题进行相关分析，提出整改建议终形成书面报告，若有需要可组织会议进行汇报。

4、安全整改

      我们会协助开发人员整改安全漏洞并复查漏洞的整改情况，确保产品上线后安全稳定的运行。

代码安全审计能够解决哪些安全问题

      代码检查是审计工作中常用的技术手段，实际应用中，采用“自动分析+人工验证”的方式进行。通常检查项目包括:系统所用开源框架、源代码设计、错误处理不当、直接对象引用、资源滥用、API滥用、后门代码发现等，通常能够识别如下代码中的风险点：

跨站脚本漏洞、跨站请求伪装漏洞、SQL注入漏洞、命令执行漏洞、参数篡改、密码明文存储、配置文件缺陷、路径操作错误、资源管理、不安全的Ajax调用、系统信息泄露、调试程序残留、第三方控件漏洞、文件上传漏洞、远程命令执行、远程代码执行、越权操作、授权绕过漏洞。