代碼審計(jì)方案

1、代碼審計(jì)我司為XXXXXX提供信息系統(tǒng)所有代碼進(jìn)行整體的安全審計(jì)。發(fā)現(xiàn)（源）代碼存在的安全漏洞，并對(duì)導(dǎo)致安全漏洞的錯(cuò)誤代碼進(jìn)行定位和驗(yàn)證，提供修復(fù)方案。語(yǔ)言方面可以支持：Java，JSP，C，C+,.NET（C#）,XML，ASP，PHP，JS，VB等。運(yùn)行環(huán)境支持：Windows，Red Hat Linux，Ubuntu，Centos，麒麟Linux等主流系統(tǒng)。服務(wù)期內(nèi)對(duì)： xxxxxx提供1次代碼審計(jì)，并提交相應(yīng)次數(shù)的（源）代碼審計(jì)報(bào)告。1.1 代碼審計(jì)服務(wù)內(nèi)容代碼審計(jì)服務(wù)的范圍包括使用Java，JSP，C，C+,.NET（C#）,XML，ASP，PHP，JS，VB等主流語(yǔ)言開發(fā)的B/S、

2、C/S應(yīng)用系統(tǒng)，以及使用XML語(yǔ)言編寫的文件、SQL語(yǔ)言和數(shù)據(jù)庫(kù)存儲(chǔ)過(guò)程等，運(yùn)行環(huán)境支持Windows，Red Hat Linux，Ubuntu，Centos，麒麟Linux等主流系統(tǒng)。源代碼安全審計(jì)服務(wù)從數(shù)據(jù)流分析、控制流分析、語(yǔ)義分析、配置分析、結(jié)構(gòu)分析等五個(gè)方面全面分析軟件源代碼安全問(wèn)題。借助源代碼分析工具，針對(duì)信息系統(tǒng)源代碼掃描、分析，語(yǔ)言方面可以支持：Java/JSP C/C+, .NET平臺(tái),TSQL/PLSQL, Cold Fusion，XML，CFML，ASP，PHP，JS，VB等。操作系統(tǒng)方面支持：Windows, Solaris, Red Hat Linux, Mac OS

3、 X, HP-UX, IBM AIX等并對(duì)導(dǎo)致安全漏洞的錯(cuò)誤代碼進(jìn)行定位和驗(yàn)證，提供修復(fù)方案。1.2 代碼審計(jì)服務(wù)參考標(biāo)準(zhǔn) CVE(Common Vulnerabilities & Exposures) 公共漏洞字典表 OWASP（Open Web Application Security Project公共漏洞字典表 軟件安全開發(fā)標(biāo)準(zhǔn)（ISO/IEC 27034） 獨(dú)立審計(jì)準(zhǔn)則第20號(hào)-計(jì)算機(jī)信息系統(tǒng)環(huán)境下的審計(jì) 審計(jì)署關(guān)于印發(fā)信息系統(tǒng)審計(jì)指南的通知（審計(jì)發(fā)【2012】11號(hào)）1.3 審計(jì)分類 整體代碼審計(jì)整體代碼審計(jì)是指代碼審計(jì)服務(wù)人員對(duì)被審計(jì)系統(tǒng)的所有源代碼進(jìn)行整體的安全審計(jì)，代碼覆蓋率

4、為100%，整體代碼審計(jì)采用源代碼掃描和人工分析確認(rèn)相結(jié)合的方式進(jìn)行分析，發(fā)現(xiàn)源代碼存在的安全漏洞。但整體代碼審計(jì)屬于白盒靜態(tài)分析，僅能發(fā)現(xiàn)代碼編寫存在的安全漏洞，無(wú)法發(fā)現(xiàn)業(yè)務(wù)功能存在的缺陷。 功能點(diǎn)人工代碼審計(jì)功能點(diǎn)人工代碼審計(jì)是對(duì)某個(gè)或某幾個(gè)重要的功能點(diǎn)的源代碼進(jìn)行人工代碼審計(jì)，發(fā)現(xiàn)功能點(diǎn)存在的代碼安全問(wèn)題。功能點(diǎn)人工代碼審計(jì)需要收集系統(tǒng)的設(shè)計(jì)文檔、系統(tǒng)開發(fā)說(shuō)明書等技術(shù)資料，以便代碼審計(jì)服務(wù)人員能夠更好的了解系統(tǒng)業(yè)務(wù)功能。由于人工代碼審計(jì)工作量極大，所以需要分析并選擇重要的功能點(diǎn)，有針對(duì)性的進(jìn)行人工代碼審計(jì)。1.4 審計(jì)工具Fortify SCAFortify SCA 是一個(gè)靜態(tài)的、白盒的

5、軟件源代碼安全測(cè)試工具。它通過(guò)內(nèi)置的五大主要分析引擎：數(shù)據(jù)流、語(yǔ)義、結(jié)構(gòu)、控制流、配置流等對(duì)應(yīng)用軟件的源代碼進(jìn)行靜態(tài)的分析，分析的過(guò)程中與它特有的軟件安全漏洞規(guī)則集進(jìn)行全面地匹配、查找，從而將源代碼中存在的安全漏洞掃描出來(lái)，并給予整理報(bào)告。掃描的結(jié)果中不但包括詳細(xì)的安全漏洞的信息，還會(huì)有相關(guān)的安全知識(shí)的說(shuō)明，以及修復(fù)意見(jiàn)的提供。1.5 代碼審計(jì)實(shí)施流程源代碼審計(jì)服務(wù)主要分為四個(gè)階段，包括代碼審計(jì)前期準(zhǔn)備階段、代碼審計(jì)階段實(shí)施、復(fù)查階段實(shí)施以及成果匯報(bào)階段： 前期準(zhǔn)備階段在實(shí)施代碼審計(jì)工作前，技術(shù)人員會(huì)和客戶對(duì)代碼審計(jì)服務(wù)相關(guān)的技術(shù)細(xì)節(jié)進(jìn)行詳細(xì)溝通。由此確認(rèn)代碼審計(jì)的方案，方案內(nèi)容主要包括確認(rèn)的

6、代碼審計(jì)范圍、最終對(duì)象、審計(jì)方式、審計(jì)要求和時(shí)間等內(nèi)容。 代碼審計(jì)階段實(shí)施在源代碼審計(jì)實(shí)施過(guò)程中，技術(shù)人員首先使用代碼審計(jì)的掃描工具對(duì)源代碼進(jìn)行掃描，完成初步的信息收集，然后由人工的方式對(duì)源代碼掃描結(jié)果進(jìn)行人工的分析和確認(rèn)。根據(jù)收集的各類信息對(duì)客戶要求的重要功能點(diǎn)進(jìn)行人工代碼審計(jì)。結(jié)合自動(dòng)化源代碼掃描和人工代碼審計(jì)兩方的結(jié)果，代碼審計(jì)服務(wù)人員需整理代碼審計(jì)服務(wù)的輸出結(jié)果并編制代碼審計(jì)報(bào)告，最終提交客戶和對(duì)報(bào)告內(nèi)容進(jìn)行溝通。 復(fù)測(cè)階段實(shí)施經(jīng)過(guò)第一次代碼審計(jì)報(bào)告提交和溝通后，等待客戶針對(duì)代碼審計(jì)發(fā)現(xiàn)的問(wèn)題整改或加固。經(jīng)整改或加固后，代碼審計(jì)服務(wù)人員進(jìn)行回歸檢查，即二次檢查。檢查結(jié)束后提交給客戶復(fù)查

7、報(bào)告和對(duì)復(fù)查結(jié)果進(jìn)行溝通。 成果匯報(bào)階段根據(jù)一次代碼審計(jì)和二次復(fù)查結(jié)果，整理代碼審計(jì)服務(wù)輸出成果，最后匯總形成信息系統(tǒng)代碼審計(jì)報(bào)告。圖 代碼審計(jì)服務(wù)流程1.6 風(fēng)險(xiǎn)控制及輸出成果為避免風(fēng)險(xiǎn)的產(chǎn)生，源代碼審計(jì)工作通常不會(huì)在生產(chǎn)或測(cè)試服務(wù)器上進(jìn)行。XXXXXX信息中心需要提供源代碼或存儲(chǔ)源代碼的計(jì)算機(jī)載體。代碼審計(jì)服務(wù)人員會(huì)將一些代碼審計(jì)工具安裝在存儲(chǔ)源代碼的計(jì)算機(jī)載體中，在完成代碼審計(jì)后卸載這些工具，以保護(hù)業(yè)務(wù)資產(chǎn)不受損害。在代碼審計(jì)過(guò)程中，確定代碼審計(jì)服務(wù)人員和配合人員的聯(lián)系方式，便于及時(shí)溝通并解決服務(wù)過(guò)程中的各類問(wèn)題。1.7 源代碼審計(jì)重點(diǎn) 跨站請(qǐng)求偽裝漏洞漏洞：提交表單中沒(méi)有用戶特有的標(biāo)識(shí)

8、。影響：攻擊者可利用跨站請(qǐng)求偽裝 (CSRF) 漏洞假冒另一用戶發(fā)出未經(jīng)授權(quán)的請(qǐng)求，即惡意用戶盜用其他用戶的身份使用特定資源。 注入漏洞漏洞：對(duì)訪問(wèn)數(shù)據(jù)庫(kù)的SQL語(yǔ)句沒(méi)有進(jìn)行任何過(guò)濾，可能導(dǎo)致SQL注入。影響：如果SQL注入成功，攻擊者可以獲取網(wǎng)站數(shù)據(jù)庫(kù)的信息，可以修改刪除數(shù)據(jù)庫(kù)，還可能獲取執(zhí)行命令的權(quán)限，進(jìn)而完全控制服務(wù)器。 命令執(zhí)行漏洞漏洞：系統(tǒng)中使用了一些調(diào)用操作系統(tǒng)函數(shù)的命令，在調(diào)用過(guò)程中，如果命令的來(lái)源不可信，系統(tǒng)可能執(zhí)行惡意命令。影響：攻擊者有可能把要執(zhí)行的命令替換成惡意命令，如刪除系統(tǒng)文件。 日志偽造漏洞漏洞：將未經(jīng)驗(yàn)證的用戶輸入寫入日志。影響：攻擊者可以利用該漏洞偽造日志條目或

9、將惡意內(nèi)容注入日志。 參數(shù)篡改漏洞：一些重要參數(shù)可能會(huì)被篡改。影響：攻擊者能夠通過(guò)篡改重要參數(shù)或方法對(duì)系統(tǒng)進(jìn)行攻擊。 密碼明文存儲(chǔ)漏洞：配置文件中存儲(chǔ)明文密碼。影響：在配置文件中存儲(chǔ)明文密碼可能會(huì)危及系統(tǒng)安全，攻擊者可以輕易獲取到系統(tǒng)密碼。 配置文件缺陷漏洞：配置文件內(nèi)容存在缺陷，例如未設(shè)置統(tǒng)一的錯(cuò)誤響應(yīng)頁(yè)面。影響：攻擊者能夠利用配置文件的缺陷對(duì)系統(tǒng)進(jìn)行攻擊。 路徑操作錯(cuò)誤漏洞：用戶輸入沒(méi)有有效的安全控制手段就直接對(duì)文件進(jìn)行操作。影響：攻擊者可以控制路徑參數(shù)，訪問(wèn)或修改其他受保護(hù)的文件。 資源管理漏洞：使用完資源后沒(méi)有關(guān)閉，或者可能關(guān)閉不成功。影響：攻擊者有可能通過(guò)耗盡資源池的方式發(fā)起拒絕服務(wù)攻擊，導(dǎo)致服務(wù)器性能降低，甚至宕機(jī)。 不安全的Ajax調(diào)用漏洞：系統(tǒng)存在不安全的Ajax調(diào)用。影響：攻擊者能夠利用該漏洞繞過(guò)驗(yàn)證程序或直接編寫腳本調(diào)用Ajax方法實(shí)現(xiàn)越權(quán)操作。 系統(tǒng)信息泄露漏洞：異常捕獲泄露系統(tǒng)信息。影響：攻擊者可以從泄露的信息中找到有用信息，發(fā)起有針對(duì)性的攻擊。 調(diào)試程序殘留漏洞：代碼包含調(diào)試程序，如：主函數(shù)。影