电话:+86-21-56522127
地址:上海市中山北路198号申航大厦1607室

联系我们

CONTACT US

技术服务

Technical service

代码审计

代码审计是一种白盒与黑盒相结合的方法,对应用程序进行安全审计服务。
代码审计
  • 询价

代码审计

代码审计(Code audit)是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目中源代码的全面分析,旨在发现错误,安全漏洞或违反编程约定。 它是防御性编程范例的一个组成部分,它试图在软件发布之前减少错误。 C和C ++源代码是最常见的审计代码,因为许多高级语言(如Python)具有较少的潜在易受攻击的功能(例如,不检查边界的函数)。


我们的代码审计对象包括并不限于对Windows和Linux系统环境下的以下语言进行审核:java、C、C#、ASP、PHP、JSP、.NET。

内容包括:

1.前后台分离的运行架构

2.WEB服务的目录权限分类

3.认证会话与应用平台的结合

4.数据库的配置规范

5.SQL语句的编写规范

6WEB服务的权限配置

7.对抗爬虫引擎的处理措施



      低风险漏洞:

      以下是审计代码时应该找到的低风险漏洞列表,但不会产生高风险情况。 


      1.客户端代码漏洞不影响服务器端(例如,跨站点脚本)

      2. 用户名枚举

      3.目录遍历(在Web应用程序中)


工具:

源代码审计工具通常会查找常见漏洞,仅适用于特定的编程语言。 这种自动化工具可用于节省时间,但不应依赖于深入审计。 建议将这些工具作为基于政策的方法的一部分。



要求:

如果设置为低阈值,则大多数软件审计工具会检测到许多漏洞,尤其是在以前未审核过代码的情况下。 但是,这些警报的实际重要性还取决于应用程序的使用方式。 可能与恶意代码链接的库(并且必须对其免疫)具有非常严格的要求,例如克隆所有返回的数据结构,因为有意破坏系统的尝试是预期的。 只能暴露于恶意输入(如Web服务器后端)的程序必须首先关心此输入(缓冲区溢出,SQL注入等)。 对于仅受保护基础结构中的授权用户内部使用的程序,可能永远不会发生此类攻击。




网站首页 > 技术服务 > 漏洞检测

相关业务

我是标题
隐私协议
×

平台信息提交-隐私协议

● 隐私权政策

我们致力于保护您在使用本网站时所提供的隐私、私人资料以及个人的资料(统称“个人资料”)。使我们在收集、使用、储存和传送个人资料方面符合(与个人资料隐私有关的法律法规)及消费者保护方面的最高标准。为确保您对本网站在处理个人资料上有充分信心,您切要详细阅读及理解隐私政策的条文。 本网站(下称“我们”)尊重并保护用户隐私, 特别时您一旦使用本网站,将被视为接受、同意、承诺和确认本隐私协议;您在自愿下连同所需的同意向我们披露个人资料;您会遵守本隐私政策的任何修改;您同意我们的相关业务人员就您可能会感兴趣的产品和服务与您联络(除非您已经表示不想收到该等讯息)。被收集的个人资料的种类经您的同意、我们会收集、管理和监控个人资料。

1、 适用范围

为用户提供更好、更优、更个性化的服务是本网站坚持不懈的追求,也希望通过我们提供的服务可以更方便您的需求。本隐私权政策适用于本网站提供的所有关于信息收集的服务,您访问本网站及使用本网站提供的服务均使用本隐私权政策。

2、 我们收集哪些信息

为了向您提供我们的各项服务,您需要提供个人资料信息,其中包括个人资料和不具名的资料,包括但不限于:个人资料(您的姓名、性别、年龄、出生日期、电话号码、传真号码、住址或通讯地址、电子邮箱地址等)。

3、 我们如何使用收集到的信息

收集个人资料和不具名的资料目的及用途如下:通过本网站向您提供我们的各项服务;当您使用我们的网站时,能辨认以及确认您的身份;让您使用本网站时得到为您而设的服务;本网站的相关业务人员有需要时可以与您联系;让您在使用本网站时更加方便;您提供给我们的个人资料及不具名资料,只保留到搜集的目的已达到的时候,除非因适用的法律法规之规定而继续保留。个人资料的拥有权及披露在我们网站上所收集的一切资料都由我们所拥有,不会出租或出售给任何无关的第三方。

4、 我们如何保护信息

对于个人资料的保护,我们实施妥适的实物、电子、管理的措施来保护和保障您的个人资料的安全。我们尽力确保通过本网站所收集的任何个人资料皆免于任何与我们无关的第三者的滋扰。我们采取的安全措施不限于: 实物措施:存有您个人资料的记录会被存放在有锁的地方 电子措施:存有您个人资料的电脑数据会被存放在受严格登录限制的电脑系统和存储媒体上 管理措施:只有经过我们授权的职员才能接触到您的个人资料,这些职员需要遵守我们个人资料保密的内部规则 若您知悉本网站上有任何安全方面的漏洞,请及时联络我们,使我们可以尽快采取妥适的行动;尽管实施了上述安全措施,我们不能保证资料在互联网上的输送绝对安全,因此我们不能绝对保证您通过本网站提供给我们的个人资料及不具名的资料在一切时候都是安全的。对任何因未经授权而接触您个人资料所发生的事件我们一概不承担责任,于这方面产生或导致的任何损失和损害,我们也不负责赔偿。

5、 未成年人保护法

未成年人在无任何家长或监护人相信有未成年人在未经家长或监护人批准或同意下向本网站提供了个人资料,请及时联系本网站所公示电话及客服电话等,以确保资料被除去。

6、 隐私政策的修定与生效

随着本网站的服务范围扩大,我们可能适时修订《法律声明及隐私权政策》,该等修订构成本《法律声明及隐私权政策》的一部分。为避免您不能及时获知该等修订,请您经常阅读本《法律声明及隐私权政策》。无论何种方式,如您继续使用我们的服务,即表示同意受经修订的本《法律声明及隐私权政策》的约束。