代碼審計(jì)方案_第1頁(yè)
代碼審計(jì)方案_第2頁(yè)
代碼審計(jì)方案_第3頁(yè)
代碼審計(jì)方案_第4頁(yè)
代碼審計(jì)方案_第5頁(yè)
已閱讀5頁(yè),還剩3頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

..代碼審計(jì)XXXXXX(源)代:Java,JSP,C,C++,.NET(C#),XML,ASP,PHP,JS,VBWindows,RedHatLinux,Ubuntu,Centos,麒麟Linux等主流系統(tǒng)。服務(wù)期內(nèi)對(duì):xxxxxx提供1(源)代碼審計(jì)服務(wù)內(nèi)容代碼審計(jì)服務(wù)的范圍包括使用Java,JSP,C,C++,.NET(C#),XML,ASP,B/S、C/SXMLWindows,RedHatLinux,Linux構(gòu)分析等五個(gè)方面全面分析軟件源代碼安全問(wèn)題。Java/JSPC/C++,.NET,TSQL/PLSQL,ColdFusion,XML,CFML,ASP,PHP,Solaris,RedHatLinux,MacOSX,HP-UX,IBMAIX。代碼審計(jì)服務(wù)參考標(biāo)準(zhǔn)CVE(CommonVulnerabilities&Exposures)公共漏洞字典表OWASP(OpenWebApplicationSecurityProject《軟件安全開(kāi)發(fā)標(biāo)準(zhǔn)》(ISO/IEC27034)《獨(dú)立審計(jì)準(zhǔn)則第20號(hào)-計(jì)算機(jī)信息系統(tǒng)環(huán)境下的審計(jì)》《審計(jì)署關(guān)于印發(fā)信息系統(tǒng)審計(jì)指南的通知》(審計(jì)發(fā)【2012】11)審計(jì)分類(lèi)整體代碼審計(jì)整體代碼審計(jì)是指代碼審計(jì)服務(wù)人員對(duì)被審計(jì)系統(tǒng)的所有源代碼進(jìn)行整體100%,整體代碼審計(jì)采用源代碼掃描和人工分析確功能點(diǎn)人工代碼審計(jì)功能點(diǎn)人工代碼審計(jì)是對(duì)某個(gè)或某幾個(gè)重要的功能點(diǎn)的源代碼進(jìn)行人工代點(diǎn),有針對(duì)性的進(jìn)行人工代碼審計(jì)。審計(jì)工具FortifySCAFortifySCA是一個(gè)靜態(tài)的、白盒的軟件源代碼安全測(cè)試工具。它通過(guò)內(nèi)置修復(fù)意見(jiàn)的提供。代碼審計(jì)實(shí)施流程階段實(shí)施、復(fù)查階段實(shí)施以及成果匯報(bào)階段:前期準(zhǔn)備階段圍、最終對(duì)象、審計(jì)方式、審計(jì)要求和時(shí)間等內(nèi)容。代碼審計(jì)階段實(shí)施的分析和確認(rèn)。根據(jù)收集的各類(lèi)信息對(duì)客戶(hù)要求的重要功能點(diǎn)進(jìn)行人工代碼審計(jì)。行溝通。復(fù)測(cè)階段實(shí)施檢查結(jié)束后提交給客戶(hù)復(fù)查報(bào)告和對(duì)復(fù)查結(jié)果進(jìn)行溝通。成果匯報(bào)階段圖代碼審計(jì)服務(wù)流程風(fēng)險(xiǎn)控制及輸出成果XXXXXX卸載這些工具,以保護(hù)業(yè)務(wù)資產(chǎn)不受損害。時(shí)溝通并解決服務(wù)過(guò)程中的各類(lèi)問(wèn)題。源代碼審計(jì)重點(diǎn)跨站請(qǐng)求偽裝漏洞漏洞:提交表單中沒(méi)有用戶(hù)特有的標(biāo)識(shí)。(CSRF)的請(qǐng)求,即惡意用戶(hù)盜用其他用戶(hù)的身份使用特定資源。注入漏洞SQLSQLSQL除數(shù)據(jù)庫(kù),還可能獲取執(zhí)行命令的權(quán)限,進(jìn)而完全控制服務(wù)器。命令執(zhí)行漏洞令的來(lái)源不可信,系統(tǒng)可能執(zhí)行惡意命令。影響:攻擊者有可能把要執(zhí)行的命令替換成惡意命令,如刪除系統(tǒng)文件。日志偽造漏洞漏洞:將未經(jīng)驗(yàn)證的用戶(hù)輸入寫(xiě)入日志。影響:攻擊者可以利用該漏洞偽造日志條目或?qū)阂鈨?nèi)容注入日志。參數(shù)篡改漏洞:一些重要參數(shù)可能會(huì)被篡改。影響:攻擊者能夠通過(guò)篡改重要參數(shù)或方法對(duì)系統(tǒng)進(jìn)行攻擊。密碼明文存儲(chǔ)漏洞:配置文件中存儲(chǔ)明文密碼。取到系統(tǒng)密碼。配置文件缺陷影響:攻擊者能夠利用配置文件的缺陷對(duì)系統(tǒng)進(jìn)行攻擊。路徑操作錯(cuò)誤資源管理漏洞:使用完資源后沒(méi)有關(guān)閉,或者可能關(guān)閉不成功。性能降低,甚至宕機(jī)。Ajax漏洞:系統(tǒng)存在不安全的Ajax調(diào)用。Ajax實(shí)現(xiàn)越權(quán)操作。系統(tǒng)信息泄露漏洞:異常捕獲泄露系統(tǒng)信息。影響:攻擊者可以從泄露的信息中找到有用信息,發(fā)起有針對(duì)性的攻擊。調(diào)試程序殘留漏洞:代碼包含調(diào)試程序,如:主函數(shù)。影響:調(diào)試程序會(huì)在應(yīng)用程序中建立一些意想不到的入口點(diǎn)被攻擊者利用。輸出成果及客

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論