代碼審計方案

1、精選優(yōu)質(zhì)文檔-傾情為你奉上代碼審計方案我司為XXXXXX代碼審計方案持：Java，JSP，C，C+,.NET（C#）,XML，ASP，PHP，JS，VB等.運行環(huán)境支持：Windows，Red Hat Linux，Ubuntu，Centos，麒麟Linux等主流系統(tǒng).服務(wù)期內(nèi)對：Ø xxxxxx提供1次代碼審計，并提交相應(yīng)次數(shù)的（源）代碼審計報告.1.1 代碼審計服務(wù)內(nèi)容代碼審計服務(wù)的范圍包括使用Java，JSP，C，C+,.NET（C#）,XML，ASP，PHP，JS，VB等主流語言開發(fā)的B/S、C/S應(yīng)用系統(tǒng)，以及使用XML語言編寫的文件、SQL語言和數(shù)據(jù)庫存儲過程等，運行環(huán)境支

2、持Windows，Red Hat Linux，Ubuntu，Centos，麒麟Linux等主流系統(tǒng).源代碼安全審計服務(wù)從數(shù)據(jù)流分析、控制流分析、語義分析、配置分析、結(jié)構(gòu)分析等五個方面全面分析軟件源代碼安全問題.借助源代碼分析工具，針對信息系統(tǒng)源代碼掃描、分析，語言方面可以支持：Java/JSP C/C+, .NET平臺,TSQL/PLSQL, Cold Fusion，XML，CFML，ASP，PHP，JS，VB等.操作系統(tǒng)方面支持：Windows, Solaris, Red Hat Linux, Mac OS X, HP-UX, IBM AIX等并對導(dǎo)致安全漏洞的錯誤代碼進行定位和驗證，提供修

3、復(fù)方案.1.2 代碼審計服務(wù)參考標(biāo)準(zhǔn)Ø 洞字典表Ø OWASP（Open Web Application Security Project公共漏洞字典表Ø 軟件安全開發(fā)標(biāo)準(zhǔn)（ISO/IEC 27034）Ø 獨立審計準(zhǔn)則第20號-計算機信息系統(tǒng)環(huán)境下的審計Ø 審計署關(guān)于印發(fā)信息系統(tǒng)審計指南的通知（審計發(fā)【2012】11號）1.3 審計分類Ø 整體代碼審計整體代碼審計是指代碼審計服務(wù)人員對被審計系統(tǒng)的所有源代碼進行整體的安全審計，代碼覆蓋率為100%，整體代碼審計采用源代碼掃描和人工分析確認相結(jié)合的方式進行分析，發(fā)現(xiàn)源代碼存在的安全漏洞.

4、但整體代碼審計屬于白盒靜態(tài)分析，僅能發(fā)現(xiàn)代碼編寫存在的安全漏洞，無法發(fā)現(xiàn)業(yè)務(wù)功能存在的缺陷.Ø 功能點人工代碼審計功能點人工代碼審計是對某個或某幾個重要的功能點的源代碼進行人工代碼審計，發(fā)現(xiàn)功能點存在的代碼安全問題.功能點人工代碼審計需要收集系統(tǒng)的設(shè)計文檔、系統(tǒng)開發(fā)說明書等技術(shù)資料，以便代碼審計服務(wù)人員能夠更好的了解系統(tǒng)業(yè)務(wù)功能.由于人工代碼審計工作量極大，所以需要分析并選擇重要的功能點，有針對性的進行人工代碼審計.1.4 審計工具Fortify SCAFortify SCA 是一個靜態(tài)的、白盒的軟件源代碼安全測試工具.它通過內(nèi)置的五大主要分析引擎：數(shù)據(jù)流、語義、結(jié)構(gòu)、控制流、配置流

5、等對應(yīng)用軟件的源代碼進行靜態(tài)的分析，分析的過程中與它特有的軟件安全漏洞規(guī)則集進行全面地匹配、查找，從而將源代碼中存在的安全漏洞掃描出來，并給予整理報告.掃描的結(jié)果中不但包括詳細的安全漏洞的信息，還會有相關(guān)的安全知識的說明，以及修復(fù)意見的提供.1.5 代碼審計實施流程源代碼審計服務(wù)主要分為四個階段，包括代碼審計前期準(zhǔn)備階段、代碼審計階段實施、復(fù)查階段實施以及成果匯報階段：Ø 前期準(zhǔn)備階段在實施代碼審計工作前，技術(shù)人員會和客戶對代碼審計服務(wù)相關(guān)的技術(shù)細節(jié)進行詳細溝通.由此確認代碼審計的方案，方案內(nèi)容主要包括確認的代碼審計范圍、最終對象、審計方式、審計要求和時間等內(nèi)容.Ø 代碼審

6、計階段實施在源代碼審計實施過程中，技術(shù)人員首先使用代碼審計的掃描工具對源代碼進行掃描，完成初步的信息收集，然后由人工的方式對源代碼掃描結(jié)果進行人工的分析和確認.根據(jù)收集的各類信息對客戶要求的重要功能點進行人工代碼審計.結(jié)合自動化源代碼掃描和人工代碼審計兩方的結(jié)果，代碼審計服務(wù)人員需整理代碼審計服務(wù)的輸出結(jié)果并編制代碼審計報告，最終提交客戶和對報告內(nèi)容進行溝通.Ø 復(fù)測階段實施經(jīng)過第一次代碼審計報告提交和溝通后，等待客戶針對代碼審計發(fā)現(xiàn)的問題整改或加固.經(jīng)整改或加固后，代碼審計服務(wù)人員進行回歸檢查，即二次檢查.檢查結(jié)束后提交給客戶復(fù)查報告和對復(fù)查結(jié)果進行溝通.Ø 成果匯報階段

7、根據(jù)一次代碼審計和二次復(fù)查結(jié)果，整理代碼審計服務(wù)輸出成果，最后匯總形成信息系統(tǒng)代碼審計報告.圖 代碼審計服務(wù)流程1.6 風(fēng)險控制及輸出成果為避免風(fēng)險的產(chǎn)生，源代碼審計工作通常不會在生產(chǎn)或測試服務(wù)器上進行.XXXXXX信息中心需要提供源代碼或存儲源代碼的計算機載體.代碼審計服務(wù)人員會將一些代碼審計工具安裝在存儲源代碼的計算機載體中，在完成代碼審計后卸載這些工具，以保護業(yè)務(wù)資產(chǎn)不受損害.在代碼審計過程中，確定代碼審計服務(wù)人員和配合人員的聯(lián)系方式，便于及時溝通并解決服務(wù)過程中的各類問題.1.7 源代碼審計重點Ø 跨站請求偽裝漏洞漏洞：提交表單中沒有用戶特有的標(biāo)識.影響：攻擊者可利用跨站請求

8、偽裝 (CSRF) 漏洞假冒另一用戶發(fā)出未經(jīng)授權(quán)的請求，即惡意用戶盜用其他用戶的身份使用特定資源.Ø 注入漏洞漏洞：對訪問數(shù)據(jù)庫的SQL語句沒有進行任何過濾，可能導(dǎo)致SQL注入.影響：如果SQL注入成功，攻擊者可以獲取網(wǎng)站數(shù)據(jù)庫的信息，可以修改刪除數(shù)據(jù)庫，還可能獲取執(zhí)行命令的權(quán)限，進而完全控制服務(wù)器.Ø 命令執(zhí)行漏洞漏洞：系統(tǒng)中使用了一些調(diào)用操作系統(tǒng)函數(shù)的命令，在調(diào)用過程中，如果命令的來源不可信，系統(tǒng)可能執(zhí)行惡意命令.影響：攻擊者有可能把要執(zhí)行的命令替換成惡意命令，如刪除系統(tǒng)文件.Ø 日志偽造漏洞漏洞：將未經(jīng)驗證的用戶輸入寫入日志.影響：攻擊者可以利用該漏洞偽造日

9、志條目或?qū)阂鈨?nèi)容注入日志.Ø 參數(shù)篡改漏洞：一些重要參數(shù)可能會被篡改.影響：攻擊者能夠通過篡改重要參數(shù)或方法對系統(tǒng)進行攻擊.Ø 密碼明文存儲漏洞：配置文件中存儲明文密碼.影響：在配置文件中存儲明文密碼可能會危及系統(tǒng)安全，攻擊者可以輕易獲取到系統(tǒng)密碼.Ø 配置文件缺陷漏洞：配置文件內(nèi)容存在缺陷，例如未設(shè)置統(tǒng)一的錯誤響應(yīng)頁面.影響：攻擊者能夠利用配置文件的缺陷對系統(tǒng)進行攻擊.Ø 路徑操作錯誤漏洞：用戶輸入沒有有效的安全控制手段就直接對文件進行操作.影響：攻擊者可以控制路徑參數(shù)，訪問或修改其他受保護的文件.Ø 資源管理漏洞：使用完資源后沒有關(guān)閉，或者可能關(guān)閉不成功.影響：攻擊者有可能通過耗盡資源池的方式發(fā)起拒絕服務(wù)攻擊，導(dǎo)致服務(wù)器性能降低，甚至宕機.Ø 不安全的Ajax調(diào)用漏洞：系統(tǒng)存在不安全的Ajax調(diào)用.影響：攻擊者能夠利用該漏洞繞過驗證程序或直接編寫腳本調(diào)用Ajax方法實現(xiàn)越權(quán)操作.Ø 系統(tǒng)信息泄露漏洞：異常捕獲泄露系統(tǒng)信息.影響：攻擊者可以從泄露的信息中找到有用信息，發(fā)起有針對性的攻擊.Ø 調(diào)試程序殘留漏洞：代碼包含調(diào)試程序，如：主函數(shù).影響：調(diào)試程