代碼審計(jì)服務(wù)技術(shù)白皮書(shū)v1.1

1、共享學(xué)問(wèn)共享歡快卑微如螻蟻、堅(jiān)強(qiáng)似大象專(zhuān)業(yè)效勞技術(shù)白皮書(shū)代碼審計(jì)效勞版本變更記錄時(shí)間2022/5/21版本V1.0說(shuō)明文檔創(chuàng)立、豐富內(nèi)容修改人專(zhuān)業(yè)效勞部名目 HYPERLINK l “_TOC_250042“ 一. 概述1 HYPERLINK l “_TOC_250041“ 根本概念1 HYPERLINK l “_TOC_250040“ 代碼審計(jì)與模糊測(cè)試1 HYPERLINK l “_TOC_250039“ 效勞的必要性1 HYPERLINK l “_TOC_250038“ 客戶(hù)收益1 HYPERLINK l “_TOC_250037“ 二. 效勞的實(shí)施標(biāo)準(zhǔn)和原則2 HYPERLINK l

2、“_TOC_250036“ 政策文件或標(biāo)準(zhǔn)2 HYPERLINK l “_TOC_250035“ 效勞原則2 HYPERLINK l “_TOC_250034“ 三. XXXX 代碼審計(jì)效勞3 HYPERLINK l “_TOC_250033“ 效勞范圍3 HYPERLINK l “_TOC_250032“ 效勞分類(lèi)3 HYPERLINK l “_TOC_250031“ 整體代碼審計(jì)和功能點(diǎn)人工代碼審計(jì)3 HYPERLINK l “_TOC_250030“ 單次效勞和年度效勞3 HYPERLINK l “_TOC_250029“ 效勞流程4 HYPERLINK l “_TOC_250028“

3、效勞特點(diǎn)5 HYPERLINK l “_TOC_250027“ 效勞報(bào)告6 HYPERLINK l “_TOC_250026“ 效勞留意事項(xiàng)6 HYPERLINK l “_TOC_250025“ 四. 代碼審計(jì)方法論6 HYPERLINK l “_TOC_250024“ 代碼檢查技術(shù)6 HYPERLINK l “_TOC_250023“ 源代碼設(shè)計(jì)7 HYPERLINK l “_TOC_250022“ 錯(cuò)誤處理不當(dāng)7 HYPERLINK l “_TOC_250021“ 直接對(duì)象引用7 HYPERLINK l “_TOC_250020“ 資源濫用8 HYPERLINK l “_TOC_25001

4、9“ API 濫用8 HYPERLINK l “_TOC_250018“ 應(yīng)用代碼關(guān)注要素8 HYPERLINK l “_TOC_250017“ 跨站腳本漏洞8 HYPERLINK l “_TOC_250016“ 跨站懇求偽裝漏洞9 HYPERLINK l “_TOC_250015“ SQL 注入漏洞9 HYPERLINK l “_TOC_250014“ 命令執(zhí)行漏洞9 HYPERLINK l “_TOC_250013“ 日志偽造漏洞9 HYPERLINK l “_TOC_250012“ 參數(shù)篡改9 HYPERLINK l “_TOC_250011“ 密碼明文存儲(chǔ)9 HYPERLINK l “

5、_TOC_250010“ 配置文件缺陷10 HYPERLINK l “_TOC_250009“ 路徑操作錯(cuò)誤10 HYPERLINK l “_TOC_250008“ 資源治理10 HYPERLINK l “_TOC_250007“ 擔(dān)憂(yōu)全的 Ajax 調(diào)用10 HYPERLINK l “_TOC_250006“ 系統(tǒng)信息泄露10 HYPERLINK l “_TOC_250005“ 調(diào)試程序殘留10 HYPERLINK l “_TOC_250004“ 五. 相關(guān)工具11 HYPERLINK l “_TOC_250003“ 信息收集工具11 HYPERLINK l “_TOC_250002“ 靜態(tài)

6、分析工具11 HYPERLINK l “_TOC_250001“ 源碼提取工具11 HYPERLINK l “_TOC_250000“ 六. 為什么選擇 XXXX11一.概述根本概念代碼審計(jì)Code Review是由具備豐富編碼閱歷并對(duì)安全編碼原則及應(yīng)用安全具有深刻理解的安全效勞人員對(duì)系統(tǒng)的源代碼和軟件架構(gòu)的安全性、牢靠性進(jìn)展全面的安全檢查。代碼審計(jì)效勞的目的在于充分挖掘當(dāng)前代碼中存在的安全缺陷以及標(biāo)準(zhǔn)性缺陷，從而讓開(kāi)發(fā)人員了解其開(kāi)發(fā)的應(yīng)用系統(tǒng)可能會(huì)面臨的威逼，并指導(dǎo)開(kāi)發(fā)人員正確修復(fù)程序缺陷。代碼審計(jì)與模糊測(cè)試在漏洞挖掘過(guò)程中有兩種重要的漏洞挖掘技術(shù)，分別是代碼審計(jì)和模糊測(cè)試Fuzzing。代

7、碼審計(jì)是通過(guò)靜態(tài)分析程序源代碼，找出代碼中存在的安全性問(wèn)題；而模糊測(cè)試則需要將測(cè)試代碼執(zhí)行起來(lái)，然后通過(guò)構(gòu)造各種類(lèi)型的數(shù)據(jù)來(lái)推斷代碼對(duì)數(shù)據(jù)的處理是否正常，以覺(jué)察代碼中存在的安全性問(wèn)題。由于承受的分析方法不同，這兩項(xiàng)技術(shù)的應(yīng)用場(chǎng)所也有所不同。代碼審計(jì)常用于由安全廠(chǎng)商或企業(yè)的安全部門(mén)發(fā)起的代碼安全性檢查工作；模糊測(cè)試則普遍用于軟件開(kāi)發(fā)和測(cè)試部門(mén)的程序測(cè)試。效勞的必要性實(shí)踐證明，程序的安全性是否有保障很大程度上取決于程序代碼的質(zhì)量，而保證代碼質(zhì)量最快捷有效的手段就是代碼審計(jì)。在風(fēng)險(xiǎn)評(píng)估過(guò)程中，代碼審計(jì)是一般脆弱性評(píng)估的一種很好的補(bǔ)充，xxxx 代碼審計(jì)效勞的代碼掩蓋率為 100%，能夠找到一些安全測(cè)

8、試所無(wú)法覺(jué)察的安全漏洞。同時(shí)，由于主持代碼審計(jì)的安全效勞人員一般都具備豐富的安全編碼閱歷和技能，所以其針對(duì)性比常見(jiàn)的脆弱性評(píng)估手段會(huì)更強(qiáng)、粒度也會(huì)更為細(xì)致?？蛻?hù)收益對(duì)于客戶(hù)而言，代碼審計(jì)可以帶來(lái)以下收益：明確安全隱患點(diǎn)代碼審計(jì)能夠?qū)φ麄€(gè)信息系統(tǒng)的全部源代碼進(jìn)展檢查，從整套源代碼切入最終明至某個(gè)威逼點(diǎn)并加以驗(yàn)證，以此明確整體系統(tǒng)中的安全隱患點(diǎn)。提高安全意識(shí)如上所述，任何的隱患在代碼審計(jì)效勞中都可能造成“千里之堤潰于蟻穴”的效果， 因此代碼審計(jì)效勞可有效催促治理人員杜絕任何一處小的缺陷，從而降低整體風(fēng)險(xiǎn)。提高開(kāi)發(fā)人員安全技能在代碼審計(jì)效勞人員與用戶(hù)開(kāi)發(fā)人員的交互過(guò)程中，可提升開(kāi)發(fā)人員的技能。另外，

9、 通過(guò)專(zhuān)業(yè)的代碼審計(jì)報(bào)告，能為用戶(hù)開(kāi)發(fā)人員供給安全問(wèn)題的解決方案，完善代碼安全開(kāi)發(fā)標(biāo)準(zhǔn)。二.效勞的實(shí)施標(biāo)準(zhǔn)和原則政策文件或標(biāo)準(zhǔn)xxxx 代碼審計(jì)效勞將參考以下標(biāo)準(zhǔn)進(jìn)展工作。OWASP TOP 10CWE/SANS TOP 25ASP/ASP.NET/PHP/JSP 安全編碼標(biāo)準(zhǔn)xxxx 代碼審計(jì)最正確實(shí)踐xxxx 安全效勞工作標(biāo)準(zhǔn)、代碼審計(jì)實(shí)施標(biāo)準(zhǔn)效勞原則xxxx 在供給代碼審計(jì)效勞中，將遵循以下原則。保密性原則保密性原則是代碼審計(jì)效勞中最重要的原則，它是鼓舞客戶(hù)實(shí)施代碼審計(jì)效勞的心理根底，同時(shí)也是對(duì)客戶(hù)的人格及隱私權(quán)的最大敬重。代碼審計(jì)的保密范圍，包括客戶(hù)供給源代 碼和相關(guān)技術(shù)文檔的保密性以

10、及輸出成果的保密性。對(duì)效勞過(guò)程中獲知的任何客戶(hù)系統(tǒng)及源 代碼的信息均屬隱秘信息，不得泄露給第三方單位或個(gè)人，不得利用這些信息進(jìn)展任何侵害 客戶(hù)的行為；對(duì)效勞的報(bào)告提交不得集中給未經(jīng)授權(quán)的第三方單位或個(gè)人。標(biāo)準(zhǔn)性原則xxxx 代碼審計(jì)效勞將依據(jù)安全效勞工作標(biāo)準(zhǔn)、代碼審計(jì)實(shí)施標(biāo)準(zhǔn)進(jìn)展嚴(yán)格落實(shí)。實(shí)施必需由專(zhuān)業(yè)的安全效勞人員依照標(biāo)準(zhǔn)的操作流程進(jìn)展，對(duì)操作過(guò)程和結(jié)果要有相應(yīng)的記錄，提 供完整的效勞報(bào)告。三.xxxx 代碼審計(jì)效勞效勞范圍xxxx 代碼審計(jì)效勞的范圍包括使用ASP、ASP.NETVB/C#、JSPJAVA、PHP 等主流語(yǔ)言開(kāi)發(fā)的B/S 應(yīng)用系統(tǒng)、使用C+、JAVA、C#、VB 等主流語(yǔ)言

11、開(kāi)發(fā)的C/S 應(yīng)用系統(tǒng)，以及使用XML 語(yǔ)言編寫(xiě)的文件、SQL 語(yǔ)言和數(shù)據(jù)庫(kù)存儲(chǔ)過(guò)程等。效勞分類(lèi)整體代碼審計(jì)和功能點(diǎn)人工代碼審計(jì)整體代碼審計(jì)是指代碼審計(jì)效勞人員對(duì)被審計(jì)系統(tǒng)的全部源代碼進(jìn)展整體的安全審計(jì)， 代碼掩蓋率為 100%，整體代碼審計(jì)承受源代碼掃描和人工分析確認(rèn)相結(jié)合的方式進(jìn)展分析， 覺(jué)察源代碼存在的安全漏洞。但整體代碼審計(jì)屬于白盒靜態(tài)分析，僅能覺(jué)察代碼編寫(xiě)存在的 安全漏洞，無(wú)法覺(jué)察業(yè)務(wù)功能存在的缺陷。功能點(diǎn)人工代碼審計(jì)是對(duì)某個(gè)或某幾個(gè)重要的功能點(diǎn)的源代碼進(jìn)展人工代碼審計(jì)，覺(jué)察功能點(diǎn)存在的代碼安全問(wèn)題。功能點(diǎn)人工代碼審計(jì)需要收集系統(tǒng)的設(shè)計(jì)文檔、系統(tǒng)開(kāi)發(fā)說(shuō)明書(shū)等技術(shù)資料，以便代碼審計(jì)效勞

12、人員能夠更好的了解系統(tǒng)業(yè)務(wù)功能。由于人工代碼審計(jì)工作量極大，所以需要分析并選擇重要的功能點(diǎn)，有針對(duì)性的進(jìn)展人工代碼審計(jì)。單次效勞和年度效勞單次效勞是指xxxx 一次性為客戶(hù)的被審計(jì)系統(tǒng)供給代碼審計(jì)效勞，效勞完成后提交代碼審計(jì)報(bào)告并指導(dǎo)客戶(hù)進(jìn)展問(wèn)題修復(fù)。單次效勞僅能夠覺(jué)察目前源代碼中可能存在的各種安全 問(wèn)題，對(duì)于系統(tǒng)后續(xù)開(kāi)發(fā)產(chǎn)生的安全問(wèn)題無(wú)能為力。年度效勞是指xxxx 以肯定的時(shí)長(zhǎng)可以是半年、年等為單位向客戶(hù)供給有限次數(shù)每月/雙月/季度/半年的代碼審計(jì)效勞，每次代碼審計(jì)均會(huì)供給具體的代碼審計(jì)報(bào)告。年度效勞能夠持續(xù)跟進(jìn)系統(tǒng)的安全狀況，在效勞期限內(nèi)最大限度保證系統(tǒng)的安全。效勞流程xxxx 代碼審計(jì)效

13、勞主要分為四個(gè)階段，包括代碼審計(jì)前期預(yù)備階段、代碼審計(jì)階段實(shí)施、復(fù)查階段實(shí)施以及成果匯報(bào)階段：前期預(yù)備階段在實(shí)施代碼審計(jì)工作前，技術(shù)人員會(huì)和客戶(hù)對(duì)代碼審計(jì)效勞相關(guān)的技術(shù)細(xì)節(jié)進(jìn)展具體溝通。由此確認(rèn)代碼審計(jì)的方案，方案內(nèi)容主要包括確認(rèn)的代碼審計(jì)范圍、最終對(duì)象、審計(jì)方 式、審計(jì)要求和時(shí)間等內(nèi)容。代碼審計(jì)階段實(shí)施在代碼審計(jì)實(shí)施過(guò)程中，xxxx 代碼審計(jì)效勞人員首先使用代碼審計(jì)的掃描工具對(duì)源代碼進(jìn)展掃描，完成初步的信息收集，然后由人工的方式對(duì)源代碼掃描結(jié)果進(jìn)展人工的分析和確 認(rèn)。依據(jù)收集的各類(lèi)信息對(duì)客戶(hù)要求的重要功能點(diǎn)進(jìn)展人工代碼審計(jì)。結(jié)合自動(dòng)化源代碼掃描和人工代碼審計(jì)兩方的結(jié)果，代碼審計(jì)效勞人員需整理

14、代碼審計(jì)效勞的輸出結(jié)果并編制代碼審計(jì)報(bào)告，最終提交客戶(hù)和對(duì)報(bào)告內(nèi)容進(jìn)展溝通。復(fù)測(cè)階段實(shí)施經(jīng)過(guò)第一次代碼審計(jì)報(bào)告提交和溝通后，等待客戶(hù)針對(duì)代碼審計(jì)覺(jué)察的問(wèn)題整改或加固。經(jīng)整改或加固后，代碼審計(jì)效勞人員進(jìn)展回歸檢查，即二次檢查。檢查完畢后提交給客戶(hù)復(fù) 查報(bào)告和對(duì)復(fù)查結(jié)果進(jìn)展溝通。成果匯報(bào)階段依據(jù)一次代碼審計(jì)和二次復(fù)查結(jié)果，整理代碼審計(jì)效勞輸出成果，最終匯報(bào)工程領(lǐng)導(dǎo)。效勞特點(diǎn)圖 3.1代碼審計(jì)效勞流程全程化效勞，有效保證效勞質(zhì)量xxxx 可以為客戶(hù)供給商定期限內(nèi)的全程化代碼審計(jì)效勞。效勞的過(guò)程不僅僅是幫助客戶(hù)覺(jué)察問(wèn)題，也會(huì)為客戶(hù)的問(wèn)題修補(bǔ)供給專(zhuān)業(yè)的建議和指導(dǎo)，做到問(wèn)題覺(jué)察、修補(bǔ)、驗(yàn)證的全 程跟蹤，每

15、一次效勞都會(huì)在前一次的根底上查找的突破口，力求最大程度地保證審計(jì)目標(biāo) 的安全。專(zhuān)家級(jí)解決方案，一切以解決問(wèn)題為目標(biāo)xxxx 有著專(zhuān)業(yè)的安全效勞團(tuán)隊(duì)，團(tuán)隊(duì)成員無(wú)論是在風(fēng)險(xiǎn)評(píng)估、安全加固、滲透測(cè)試，還是在代碼審計(jì)等領(lǐng)域均有著豐富的閱歷，全部問(wèn)題的解決方案均由團(tuán)隊(duì)成員依據(jù)多年閱歷總 結(jié)而來(lái)，方案確實(shí)可行。降低本錢(qián)，節(jié)約投資在 xxxx 為客戶(hù)打造的年度效勞方案中，效勞人員第一次代碼審計(jì)的結(jié)果將會(huì)成為后續(xù)審計(jì)效勞的參考依據(jù)，避開(kāi)了單次效勞中每次都會(huì)為某一特定問(wèn)題所累，節(jié)約了審計(jì)時(shí)間，同 時(shí)也降低了客戶(hù)在每個(gè)階段的投入。效勞報(bào)告在審計(jì)工作完成后兩個(gè)工作日內(nèi)，xxxx 審計(jì)人員將出示一份代碼審計(jì)報(bào)告。在報(bào)

16、告中，審計(jì)人員將會(huì)依據(jù)審計(jì)結(jié)果針對(duì)源代碼中的每個(gè)安全弱點(diǎn)進(jìn)展具體描述，描述內(nèi)容至少包括安全弱點(diǎn)所在的代碼頁(yè)名、代碼行數(shù)、問(wèn)題代碼片段以及弱點(diǎn)可能導(dǎo)致的安全問(wèn)題等。除此之外，審計(jì)人員還將針對(duì)各種具體的安全弱點(diǎn)供給解決方案和相關(guān)的安全建議，為治理/開(kāi)發(fā)人員的維護(hù)和問(wèn)題修補(bǔ)工作供給參考。效勞留意事項(xiàng)為避開(kāi)風(fēng)險(xiǎn)的產(chǎn)生，代碼審計(jì)工作通常不會(huì)在生產(chǎn)或測(cè)試效勞器上進(jìn)展?？蛻?hù)需要供給源代碼或存儲(chǔ)源代碼的計(jì)算機(jī)載體。代碼審計(jì)效勞人員會(huì)將一些代碼審計(jì)工具安裝在存儲(chǔ)源代碼的計(jì)算機(jī)載體中，在完成代碼審計(jì)后卸載這些工具，以保護(hù)客戶(hù)資產(chǎn)。在代碼審計(jì)過(guò)程中，確定代碼審計(jì)效勞人員和客戶(hù)方協(xié)作人員的聯(lián)系方式，便于準(zhǔn)時(shí)溝通并解決

17、效勞過(guò)程中的各類(lèi)問(wèn)題。四.代碼審計(jì)方法論代碼檢查技術(shù)代碼檢查是代碼審計(jì)工作中最常使用的一種技術(shù)手段。代碼檢查可以由人工進(jìn)展，也可 以借助代碼檢查工具自動(dòng)進(jìn)展。在實(shí)際應(yīng)用中，通常承受“自動(dòng)分析+人工驗(yàn)證”的方式進(jìn)展。代碼檢查的目的在于覺(jué)察代碼本身存在的問(wèn)題，如代碼對(duì)標(biāo)準(zhǔn)的遵循、可讀性，代碼的規(guī)律表達(dá)的正確性，代碼構(gòu)造的合理性等方面。通過(guò)分析，可以覺(jué)察各種違反程序編寫(xiě)標(biāo)準(zhǔn)的問(wèn)題，主要包括以下幾類(lèi)。源代碼設(shè)計(jì)源代碼設(shè)計(jì)問(wèn)題通常來(lái)源于程序設(shè)計(jì)之初，例如代碼編寫(xiě)工具的使用等。在這方面的審計(jì)主要是分析代碼的系統(tǒng)性和約束范圍，主要從下面的幾個(gè)方面進(jìn)展：擔(dān)憂(yōu)全的域擔(dān)憂(yōu)全的方法擔(dān)憂(yōu)全的類(lèi)修飾符未使用的外部引用未

18、使用的代碼錯(cuò)誤處理不當(dāng)這類(lèi)問(wèn)題的檢查主要是通過(guò)分析源代碼了解程序在治理錯(cuò)誤、特別、日志記錄以及敏感信息等方面是否存在缺陷。假設(shè)程序處理這類(lèi)問(wèn)題不當(dāng)，最可能的問(wèn)題是將敏感信息泄露給攻擊者，從而可能導(dǎo)致危害性后果。這類(lèi)問(wèn)題主要表達(dá)在以下幾個(gè)方面：程序特別處理返回值用法空指針日志記錄直接對(duì)象引用直接對(duì)象引用意指在引用對(duì)象時(shí)沒(méi)有進(jìn)展必要的校驗(yàn)，從而可能導(dǎo)致被攻擊者利用。通 過(guò)代碼檢查，審計(jì)人員可以分析出程序是否存在直接對(duì)象引用以及相應(yīng)的對(duì)象引用是否安全。直接獨(dú)享引用問(wèn)題主要有以下幾類(lèi)：直接引用數(shù)據(jù)庫(kù)中的數(shù)據(jù)直接引用文件系統(tǒng)直接引用內(nèi)存空間資源濫用資源濫用是指程序?qū)ξ募到y(tǒng)對(duì)象、CPU、內(nèi)存、網(wǎng)絡(luò)帶寬等

19、資源的不恰當(dāng)使用。資源 使用不當(dāng)可能導(dǎo)致程序效率降低，患病拒絕效勞攻擊的影響。代碼檢查中，審計(jì)人員將會(huì)依據(jù)編碼標(biāo)準(zhǔn)分析代碼中對(duì)各種資源的引用方法進(jìn)展分析，覺(jué)察其中可能導(dǎo)致資源過(guò)度占用方面的問(wèn)題。資源占用方面的問(wèn)題主要有以下幾類(lèi)：擔(dān)憂(yōu)全的文件創(chuàng)立、修改和刪除競(jìng)爭(zhēng)沖突內(nèi)存泄露擔(dān)憂(yōu)全的過(guò)程創(chuàng)立API 濫用API 濫用是指由系統(tǒng)或程序開(kāi)發(fā)框架供給的API 被惡意使用，導(dǎo)致消滅無(wú)法預(yù)知的安全問(wèn)題。檢查過(guò)程中，審計(jì)人員將會(huì)針對(duì)此類(lèi)問(wèn)題來(lái)對(duì)源代碼進(jìn)展分析以覺(jué)察此類(lèi)問(wèn)題。API 濫用主要有下面幾種類(lèi)型：擔(dān)憂(yōu)全的數(shù)據(jù)庫(kù)調(diào)用擔(dān)憂(yōu)全的隨機(jī)數(shù)創(chuàng)立不恰當(dāng)?shù)膬?nèi)存治理調(diào)用不全的字符串操作危急的系統(tǒng)方法調(diào)用對(duì)于Web 應(yīng)用來(lái)

20、說(shuō)擔(dān)憂(yōu)全的 會(huì)話(huà)句柄也是API 濫用的一種。應(yīng)用代碼關(guān)注要素跨站腳本漏洞漏洞：對(duì)用戶(hù)的輸入沒(méi)有承受有效的安全把握手段就將用戶(hù)輸入插入到返回頁(yè)面中。 影響：攻擊者可以利用存在XSS 漏洞的Web 網(wǎng)站攻擊掃瞄相關(guān)網(wǎng)頁(yè)的用戶(hù)，竊取用戶(hù)會(huì)話(huà)中諸如用戶(hù)名和口令可能包含在Cookie 里等敏感信息、通過(guò)插入惡意代碼對(duì)用戶(hù)執(zhí)行掛馬攻擊、XSS 漏洞還可能被攻擊者用于網(wǎng)頁(yè)篡改。跨站懇求偽裝漏洞漏洞：提交表單中沒(méi)有用戶(hù)特有的標(biāo)識(shí)。影響：攻擊者可利用跨站懇求偽裝 (CSRF) 漏洞假冒另一用戶(hù)發(fā)出未經(jīng)授權(quán)的懇求，即惡意用戶(hù)盜用其他用戶(hù)的身份使用特定資源。SQL 注入漏洞漏洞：對(duì)訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)的SQL 語(yǔ)句沒(méi)有進(jìn)展任

21、何過(guò)濾，可能導(dǎo)致SQL 注入。影響：假設(shè) SQL 注入成功，攻擊者可以獵取網(wǎng)站數(shù)據(jù)庫(kù)的信息，可以修改刪除數(shù)據(jù)庫(kù)， 還可能獵取執(zhí)行命令的權(quán)限，進(jìn)而完全把握效勞器。命令執(zhí)行漏洞漏洞：系統(tǒng)中使用了一些調(diào)用操作系統(tǒng)函數(shù)的命令，在調(diào)用過(guò)程中，假設(shè)命令的來(lái)源不行信，系統(tǒng)可能執(zhí)行惡意命令。影響：攻擊者有可能把要執(zhí)行的命令替換成惡意命令，如刪除系統(tǒng)文件。日志偽造漏洞漏洞：將未閱歷證的用戶(hù)輸入寫(xiě)入日志。影響：攻擊者可以利用該漏洞偽造日志條目或?qū)阂鈨?nèi)容注入日志。參數(shù)篡改漏洞：一些重要參數(shù)可能會(huì)被篡改。影響：攻擊者能夠通過(guò)篡改重要參數(shù)或方法對(duì)系統(tǒng)進(jìn)展攻擊。密碼明文存儲(chǔ)漏洞：配置文件中存儲(chǔ)明文密碼。影響：在配置文件

22、中存儲(chǔ)明文密碼可能會(huì)危及系統(tǒng)安全，攻擊者可以輕易獵取到系統(tǒng)密碼。配置文件缺陷漏洞：配置文件內(nèi)容存在缺陷，例如未設(shè)置統(tǒng)一的錯(cuò)誤響應(yīng)頁(yè)面。影響：攻擊者能夠利用配置文件的缺陷對(duì)系統(tǒng)進(jìn)展攻擊。路徑操作錯(cuò)誤漏洞：用戶(hù)輸入沒(méi)有有效的安全把握手段就直接對(duì)文件進(jìn)展操作。影響：攻擊者可以把握路徑參數(shù)，訪(fǎng)問(wèn)或修改其他受保護(hù)的文件。資源治理漏洞：使用完資源后沒(méi)有關(guān)閉，或者可能關(guān)閉不成功。影響：攻擊者有可能通過(guò)耗盡資源池的方式發(fā)起拒絕效勞攻擊，導(dǎo)致效勞器性能降低， 甚至宕機(jī)。擔(dān)憂(yōu)全的 Ajax 調(diào)用漏洞：系統(tǒng)存在擔(dān)憂(yōu)全的Ajax 調(diào)用。影響：攻擊者能夠利用該漏洞繞過(guò)驗(yàn)證程序或直接編寫(xiě)腳本調(diào)用Ajax 方法實(shí)現(xiàn)越權(quán)操作。系統(tǒng)信息泄露漏洞：特別捕獲泄露系統(tǒng)信息。