代码审计报告.docx

源代码审计报告
目录
概述 1
1
2
审核对象 3
3
3
错误!未定义书签。
Microsoft 错查。通过了解业 务系统，确定重点检查模块以及重要文件，提供可行性的解决方法。
审计方法
通过白盒（代码审计）的方式检查应用系统的安全性，白盒测试所采用的方法是工具审 查+人工确认+人工抽取代码检查，依照OWASP 2010 TOP 10所披露的脆弱性，根据业务流 来检查目标系统的脆弱性、缺陷以及结构上的问题。
本次源代码审计分为三个阶段：
信息收集
此阶段中，源代码审计人员熟悉待审计WEB应用的结构设计、功能模块，并与客户相关 人员商议、协调审计重点及源代码提供等方面的信息。
代码安全性分析
此阶段中，源代码审计人员会使用工具对源代码的脆弱性和安全缺陷进行初步的分析， 然后根据客户关注的重点对部分代码进行手工审计，主要包含以下内容：
输入/输出验证。SQL注入、跨站脚本、拒绝服务攻击，对上传文件的控制等因 为未能较好的控制用户提交的内容造成的问题；
安全功能。请求的参数没有限制范围导致信息泄露，Cookie超时机制和有效域 控制，权限控制、日志审计等方面的内容；
程序异常处理。忽略处理的异常、异常处理不恰当造成的信息泄露或是不便于进 行错误定位等问题；
代码规范性检査
此阶段中，源代码审计人员主要是利用一些代码规范检查工具对网站各功能模块的代码 进行合规性检查，主要目的在于提高代码质量，使其更符合编码规范的要求，主要包括以下 内容：
代码质量。例如对象错误或不适合调用导致程序未能按预期的方式执行，功能缺 失；类成员与其封装类同名，变量赋值后不使用等；
封装。多余的注释信息、调试信息问题导致应用系统信息暴露，错误的变量声明 等。
API滥用。例如调用非本单位直接控制的资源、对象过于频繁调用、直接调用空 对象导致系统资源消耗过大或是程序执行效率低下等问题。
1・2项目概述
在XX及WEB应用开发单位XX公司相关人员的协调与配合下，**公司安全测试小组于
XXXX年XX月XX日至XX日对XX应用进行了源代码审计工作。在此期间内，**公司安全 测试小组利用各种主流的代码审计工具以及手工检查等方式对网站主要功能模块的源代码进 行了安全性及规范性检查，发现了源代码中存在的一些脆弱性、合规性问题及缺陷。
本文档即为**公司安全测试小组在进行代码审计工作完成后所提交的报告资料，用于对
XXWEB应用的安全状况从代码层面作出分析和建议。
**公司代码审计服务是经过授权的，也是有时间限制的。
二审核对象

本次代码审核的对象包括:
基本信息
应用系统名称
XX WEB应用
语言类型
ASP
(VB)
(C#)
PHP
JSP (JAVA)
□其它

参与人员
工作职责
联系方式
XXX
XXX
XXX

工具一
工具名称
XXXX
工具用途
相关信息
工具二
工具名称
XXXX
工具用途
相关信息
三.