越来越多的企业选择代码审计

越来越多的企业选择代码审计

99%的大型网站都被拖过库，泄漏了大量用户数据。提前做好代码审计工作，将先于发现系统的安全隐患，提前部署好安全防御措施，保证系统的每个环节在未知环境下都能经得起挑战，进一步巩固客户对企业及平台的信赖。入侵者可以利用的漏洞有：

1. 软件编写存在bug
2. 系统配置不当
3. 口令失窃
4. 嗅探未加密通讯数据
5. 设计存在缺陷
6. 系统攻击

哪些业务场景需要做好代码审计工作？

代码审计的对象主要是PHP、JAVA、asp、.NET等与Web相关的语言：

1. 即将上线的新系统平台；
2. 存在156大量用户访问6991、高可用、3780高并发请求的网站；
3. 存在用户资料等敏感机密信息的企业平台；
4. 互联网金融类存在业务逻辑问题的企业平台；
5. 开发过程中对重要业务功能需要进行局部安全测试的平台；
链狮安应用团队提供怎样的代码审计服务？优势有哪些？

代码检查是审计工作中常用的技术手段，实际应用中，采用“自动分析+人工验证”的方式进行。链狮提供的检查项目包括:
系统所用开源框架、源代码设计、错误处理不当、直接对象引用、资源滥用、API滥用、后门代码发现、应用代码关注要素：

跨站脚本漏洞、跨站请求伪装漏洞、SQL注入漏洞、命令执行漏洞、日志伪造漏洞、参数篡改、密码明文存储、配置文件缺陷、路径操作错误、资源管理、不安全的Ajax调用、系统信息泄露、调试程序残留、第三方控件漏洞、文件上传漏洞、远程命令执行、远程代码执行、越权下载、授权绕过漏洞。
了解整体代码审计和功能点人工代码审计区别吗？

整体代码审计是指代码审计服务人员对被审计系统的所有源代码进行整体的安全审计，代码覆盖率为100%，整体代码审计采用源代码扫描和人工分析确认相结合的方式进行分析，发现源代码存在的安全漏洞。但整体代码审计属于白盒静态分析，仅能发现代码编写存在的安全漏洞，无法发现业务功能存在的缺陷。 整体代码审计付出的时间、代价很高，也很难真正读懂这一整套程序，更难深入了解其业务逻辑。这种情况下，根据功能点定向审计、通过工具做接口测试等，能够提高审计速度，更适合企业使用。
功能点人工代码审计是对某个或某几个重要的功能点的源代码进行人工代码审计，发现功能点存在的代码安全问题，能够发现一些业务逻辑层面的漏洞。功能点人工代码审计需要收集系统的设计文档、系统开发说明书等技术资料，以便代码审计服务人员能够更好的了解系统业务功能。由于人工代码审计工作量极大，所以需要分析并选择重要的功能点，有针对性的进行人工代码审计。
链狮的安全工程师都具备多年代码审计经验，首先通览程序的大体代码结构，在根据文件的命名时间辨识核心功能点、重要接口。下面就介绍几个功能、接口经常会出现的漏洞：

1. 登陆认证
a. 任意用户登录漏洞
b. 越权漏洞
2. 找回密码
a. 验证码漏洞
b. 重置管理员密码漏洞
3. 文件上传
a. 任意文件上传漏洞
b. SQL注入漏洞
4. 在线支付，多为逻辑漏洞
a. 支付过程中可直接修改数据包中的支付金额
b. 没有对购买数量进行负数限制
c. 请求重访
d. 其他参数干扰
5. 接口漏洞
a. 操作数据库的接口要防止sql注入
b. 对外暴露的接口要注意认证安全