视频会议群
保利威
知识付费群

注重代码审计是保障应用安全的根

在网络攻击中人尽皆知的SQL注入攻击,就是利用了代码中的漏洞,在查询语句的参数传递的时候跟上额外的删除或者修改的SQL语句。

如果说不是使用了占位符的方式就让黑客顺利的执行了额外的恶意SQL,所以代码中的漏洞是可以被利用越过防火墙,安全网关,云防火墙直接对应用软件进行攻击,防不胜防,这就更加强调了代码逻辑的重要性,代码审计也自然成为了重中之重。

经过大量实践证明,程序的安全性保障的强度很大程度上取决于程序代码的质量,而能够保障代码质量最有效的手段就是代码审计了。

在风险评估过程中,代码审计是一般脆弱性评估的一种很好的补充,代码审计服务的代码覆盖率为100%,能够找到一些安全测试所无法发现的安全漏洞。

同时,由于主持代码审计的安全服务人员一般都具备丰富的安全编码经验和技能,所以其针对性比常见的脆弱性评估手段会更强、粒度也会更为细致。

想要做到完善的代码审计,一般需要一套严格的安全代码审计服务,需要做到“计划—执行—检测—处置”几个环节来形成闭环的流程实施。

并且由计划准备、审计实施、回归测试、成果提交四个阶段组成,这样才能做到面面俱到,才是一套完整的代码审计流程。

腾讯云安全代码审计服务便能够依据严格的审计闭环流程提供代码审计服务。审计的方向从整体和重点功能点两个方向入手进行检测。

整体代码审计是指代码审计服务人员对被审计系统的所有源代码进行整体的安全审计,代码覆盖率为100%,整体代码审计采用源代码扫描和人工分析确认相结合的方式进行分析,发现源代码存在的安全漏洞。

但整体代码审计属于白盒静态分析,仅能发现代码编写存在的安全漏洞,无法发现业务功能存在的缺陷。然后第二个功能点代码审计是对某个或某几个重要的功能点的源代码进行人工代码审计,发现功能点存在的代码安全问题。

功能点人工代码审计需要收集系统的设计文档、系统开发说明书等技术资料,以便代码审计服务人员能够更好的了解系统业务功能。

由于人工代码审计工作量极大,所以需要分析并选择重要的功能点,有针对性的进行人工代码审计。

其审计的对象主要针对常见的主流语言和B/S的架构应用系统为主。除此之外更是涉及到整个瀑布流开发的每一个里程碑节点中,从源代码的设计,错误处理不当,直接对象引用,资源滥用,API滥用和应用代码所关注的各个要素入手。

至于业务逻辑的审计,主要是欺骗密码的召回,交易限制,越权缺陷,Cookies和session存在的问题,顺序执行缺陷,授权绕过漏洞和请求重放漏洞,针对开发环节中可能会遇到的各个方面的问题做到完全和审计和预警,从根本上消除漏洞,提升应用的安全性。

云巴巴严选云作为腾讯的金牌代理商,携手腾讯安全,搭配出了包括网商\电商加固方案在内覆盖各行各业的网络安全实施方案。一站式解决企业上云的安全问题,保障业务稳定进行。

扫码添加云巴巴严选云官方客服,无论您有任何问题,都可随时提问,有问必答

版权声明:本文为Yun88网的原创文章,转载请附上原文出处链接及本声明。

0 个评论

要回复文章请先登录注册