源代码审计

源代码审计工作通过分析当前应用系统的源代码,熟悉业务系统,从应用系统结构方面检查其各模块和功能之间的关联、权限验证等内容;从安全性方面检查其脆弱性和缺陷。在明确当前安全现状和需求的情况下,对下一步的编码安全规范性建设有重大的意义。

代码安全审计=代码安全测试+代码安全开发;除了交给安全人员外,开发人员也应该参与进来。但综合来看代码审计是一个很专业的工作。

源代码审计工作利用一定的编程规范和标准,针对应用程序源代码,从结构、脆弱性以及缺陷等方面进行审查,以发现当前应用程序中存在的安全缺陷以及代码的规范性缺陷。黑盒的是渗透测试,白盒的是代码审计。

安全圈里有句老话:一切的用户输入都是有害的。的确,我们的所有安全测试都是基于这一点的.既然用户的一切输入都是有害的那么怎样使这个危害显现出来呢,这就引入了安全的另一句话:有害的数据进入了危险的函数便产生了漏洞 ,因此我们可以总结出安全的两个基本点:数据和函数 ,我们所做的所有安全相关的工作都是基于这两点。源代码审计也不例外。

审核目的

源代码审计工作是通过对当前系统各模块的源代码进行审查,以检查代码在程序编写上可能引起的安全性和脆弱性问题。
码安全审计的主要宗旨就是在编码环节,以自我审计的方式去尽量减少和消除这些不安全的编码方式和编码习惯,确保不会有安全漏洞的产生。

审核依据

源代码审计工作主要突出代码编写的缺陷和脆弱性,以OWAS

相关推荐
这是一款结合白盒跟黑盒的半自动化代码安全审计系统。 该版本只支持PHP,近期会加上ASPX、ASP、JSP的代码审计功能,并且实现4套规则的配置,另外还会加上自定义审计的扩展名,方便灵活审计不同脚本代码。 由于一直都比较忙,所有写的时候比较急,有很多代码还有很大的优化空间,在以后的日子我会慢慢来优化,也欢迎大家一起来优化。 修改本源码请保留最终版权Seay。 BUG反馈+规则共享+插件共享,请发送到邮箱root@cnseay.com,我会集成在下一个版本。 历史版本: 2013年7月15日 Seay源代码审计系统2.0 1.增加mysql执行监控,可以监控自定义断点后执行的所有SQL语句,方便调试SQL注入 2.更换在线升级,安装好之后下次更新可以直接在线升级,无需重新安装 3.更换皮肤,去除图片优化程序速度 4.更换mysql管理系统为HeidiSql 2013年6月18日 Seay源代码审计系统1.1 1.审计规则禁用 2.审计进度显示 3.优化正则调试、编码转换输入框 4.优化信息泄露插件扫描模式 5.修复代码查看处的一个bug 2013年6月8日 Seay源代码审计系统1.0 开发新功能: 1.高精确度自动白盒审计 2.代码高亮 3.函数查询 4.代码调试 5.函数/变量定位 6.审计报告 7.自定义规则 8.自定义编辑器 9.mysql数据库管理 10.黑盒敏感信息泄露一键审计 11.正则调试 12.多种字符编码转换 13.临时记录(可保存) 14.编辑保存文件 15.自动升级检测 16.POST数据包提交 17.自定义插件扩展功能 18.英汉互译
©️2020 CSDN 皮肤主题: 博客之星2020 设计师:CY__ 返回首页