QQ客服:4000600990 客服熱線:4001610866 投訴郵箱:[email protected]

代碼審計

幫助企業從安全角度對應用系統的所有邏輯路徑進行測試,通過分析源代碼,充分挖掘代碼中存在的安全缺陷以及規范性缺陷。找到普通安全測試所無法發現的如二次注入、反序列化、xml實體注入等安全漏洞。

立即咨詢
代碼審計 banner

為什么要做代碼審計

新上線系統

新上線系統

新上線系統對互聯網環境的適應性較差,代碼審計可以充分挖掘代碼中存在的安全缺陷。避免系統剛上線就遇到重大攻擊。

已運行系統

已運行系統

先于黑客發現系統的安全隱患,提前部署好安全防御措施,保證系統的每個環節在未知環境下都能經得起黑客挑戰。

Mt.Gox被黑客攻擊導致破產

明確安全隱患點

可從整套源代碼切入最終明確至某個威脅點并加以驗證。

Tumblr超6500萬郵箱賬號密碼遭泄露

提高安全意識

有效防止管理人員遺漏缺陷,從而降低整體風險。

網絡安全法,要求漏洞檢查

提升開發人員安全技能

通過審計報告,以及安全人員與開發人員的溝通,開發人員更好的完善代碼安全開發規范。

服務內容

主要審計內容

系統所用開源框架

系統所用開源框架

包含java反序列化漏洞,導致遠程代碼執行。Spring、Struts2的相關安全。

應用代碼關注要素

應用代碼關注要素

日志偽造漏洞,密碼明文存儲,資源管理,調試程序殘留,二次注入,反序列化。

API濫用

API濫用

不安全的數據庫調用、隨機數創建、內存管理調用、字符串操作,危險的系統方法調用。

源代碼設計

源代碼設計

不安全的域、方法、類修飾符未使用的外部引用、代碼。

錯誤處理不當

錯誤處理不當

程序異常處理、返回值用法、空指針、日志記錄。

直接對象引用

直接對象引用

直接引用數據庫中的數據、文件系統、內存空間。

資源濫用

資源濫用

不安全的文件創建/修改/刪除,競爭沖突,內存泄露。

業務邏輯錯誤

業務邏輯錯誤

欺騙密碼找回功能,規避交易限制,越權缺陷Cookies和session的問題。

規范性權限配置

規范性權限配置

數據庫配置規范,Web服務的權限配置SQL語句編寫規范。

服務優勢

安全團隊能力強

安全團隊能力強

兩屆CTF冠軍,一屆季軍;有政府、金融、電商、能源、教育等多個領域的安全項目經驗以及豐富的安全編碼經驗。

檢查項專業

檢查項專業

檢查類別涉及27大類,177個檢查項;同時提供不同等級檢查項供選擇。

交付體貼周到

交付體貼周到

完善的報告交付要求,全程項目管控,實時在線問答。

×
×

身份信息驗證

應國家法律法規相關要求,自2017年6月1日起使用信息發布、即時通信等服務時,需進行身份信息驗證。為保障您對相關服務功能的正常使用,請驗證手機郵箱姓名身份證號,感謝您的支持和理解。

驗證
4001610866 800198126 關注
中彩网3d试机号