代码审计报告.doc

(Portal) 30概述源代码审计概述源代码审计工作通过分析当前应用系统的源代码,熟悉业务系统,从应用系统结构方面检查其各模块和功能之间的关联、权限验证等内容;从安全性方面检查其脆弱性和缺陷。在明确当前安全现状和需求的情况下,对下一步的编码安全规范性建设有重大的意义。源代码审计工作利用一定的编程规范和标准,针对应用程序源代码,从结构、脆弱性以及缺陷等方面进行审查,以发现当前应用程序中存在的安全缺陷以及代码的规范性缺陷。审核目的本次源代码审计工作是通过对当前系统各模块的源代码进行审查,以检查代码在程序编写上可能引起的安全性和脆弱性问题。审核依据本次源代码审计工作主要突出代码编写的缺陷和脆弱性,以OWASPTOP102010为检查依据,针对OWASP统计的问题作重点检查。ß点击打开文档OWASPTOP102010审计范围根据XX给出的代码,对其WEB应用作脆弱性和缺陷、以及结构上的检查。通过了解业务系统,确定重点检查模块以及重要文件,提供可行性的解决方法。审计方法通过白盒(代码审计)的方式检查应用系统的安全性,白盒测试所采用的方法是工具审查+人工确认+人工抽取代码检查,依照OWASP2010TOP10所披露的脆弱性,根据业务流来检查目标系统的脆弱性、缺陷以及结构上的问题。本次源代码审计分为三个阶段:信息收集此阶段中,源代码审计人员熟悉待审计WEB应用的结构设计、功能模块,并与客户相关人员商议、协调审计重点及源代码提供等方面的信息。代码安全性分析此阶段中,源代码审计人员会使用工具对源代码的脆弱性和安全缺陷进行初步的分析,然后根据客户关注的重点对部分代码进行手工审计,主要包含以下内容:输入/输出验证。SQL注入、跨站脚本、拒绝服务攻击,对上传文件的控制等因为未能较好的控制用户提交的内容造成的问题;安全功能。请求的参数没有限制范围导致信息泄露,Cookie超时机制和有效域控制,权限控制、日志审计等方面的内容;程序异常处理。忽略处理的异常、异常处理不恰当造成的信息泄露或是不便于进行错误定位等问题;代码规范性检查此阶段中,源代码审计人员主要是利用一些代码规范检查工具对网站各功能模块的代码进行合规性检查,主要目的在于提高代码质量,使其更符合编码规范的要求,主要包括以下内容:代码质量。例如对象错误或不适合调用导致程序未能按预期的方式执行,功能缺失;类成员与其封装类同名,变量赋值后