服务内容

安全编码规范咨询
源代码安全现状测评
源代码安全漏洞定位与挖掘
漏洞风险分析
安全报告输出
定制化整改建议输出及监测执行
整改建议执行性跟踪与再调整

审计工具

应用代码关注要素

日志伪造漏洞,密码明文存储,资源管理,调试程序残留,二次注入,反序列化

系统所用开源框架

包含java反序列化漏洞,导致远程代码执行。Spring、Struts2的相关安全

API滥用

不安全的数据库调用、随机数创建、内存管理调用、字符串操作,危险的系统方法调用

源代码设计

不安全的域、方法、类修饰符未使用的外部引用、代码

错误处理不当

程序异常处理、返回值用法、空指针、日志记录

直接对象引用

直接引用数据库中的数据、文件系统、内存空间

资源滥用

不安全的文件创建/修改/删除,竞争冲突,内存泄露

业务逻辑错误

欺骗密码找回功能,规避交易限制,越权缺陷Cookies和session的问题

规范性权限配置

数据库配置规范,Web服务的权限配置SQL语句编写规范

服务价值

提前部署安全防御措施

帮助企业先于黑客一步发现存在于系统中的安全隐患,及时修复漏洞,防御风险发生

提升企业平台用户信赖度

企业安全系统的提升将更好的保护平台用户的信息及权益,有效促进用户对企业的信赖度的提升

提升管理人员安全意识

有效督促管理人员杜绝任何一处小的缺陷,从而降低整体风险

提升开发人员安全技能

通过审计报告,以及安全人员与开发人员的沟通,开发人员更好的完善代码安全开发规范