企業為什麼需要看重代碼審計？

代碼審計（Code audit）屬於高級滲透測試服務，但代碼覆蓋率能達到100%，是一種以發現程序錯誤，安全漏洞和違反程序規範為目標的源代碼分析，能夠找到普通安全測試所無法發現的安全漏洞。代碼審計的操作需要運作在企業安全運營的場景當中，安全工程師需要了解整個應用的業務邏輯，才能挖掘到更多更有價值的漏洞。

企業為什麼需要代碼審計？



99%的大型網站都被拖過庫，泄漏了大量用戶數據。提前做好代碼審計工作，將先於黑客發現系統的安全隱患，提前部署好安全防禦措施，保證系統的每個環節在未知環境下都能經得起黑客挑戰，進一步鞏固客戶對企業及平台的信賴。入侵者可以利用的漏洞有：

1. 軟體編寫存在bug

2. 系統配置不當

3. 口令失竊

4. 嗅探未加密通訊數據

5. 設計存在缺陷

6. 系統攻擊

哪些業務場景需要做好代碼審計工作？

代碼審計的對象主要是PHP、JAVA、asp、.NET等與Web相關的語言：

1. 即將上線的新系統平台；

2. 存在大量用戶訪問、高可用、高併發請求的網站；

3. 存在用戶資料等敏感機密信息的企業平台；

4. 互聯網金融類存在業務邏輯問題的企業平台；

5. 開發過程中對重要業務功能需要進行局部安全測試的平台；

知道創宇安應用團隊提供怎樣的代碼審計服務？優勢有哪些？

代碼檢查是審計工作中最常用的技術手段，實際應用中，採用「自動分析+人工驗證」的方式進行。知道創宇提供的檢查項目包括:

系統所用開源框架、源代碼設計、錯誤處理不當、直接對象引用、資源濫用

、API濫用、後門代碼發現、應用代碼關注要素：

跨站腳本漏洞、跨站請求偽裝漏洞、SQL注入漏洞、命令執行漏洞、日誌偽造漏洞、參數篡改、密碼明文存儲、配置文件缺陷、路徑操作錯誤、資源管理、不安全的Ajax調用、系統信息泄露、調試程序殘留、第三方控制項漏洞、文件上傳漏洞、遠程命令執行、遠程代碼執行、越權下載、授權繞過漏洞。

了解整體代碼審計和功能點人工代碼審計區別嗎？

整體代碼審計是指代碼審計服務人員對被審計系統的所有源代碼進行整體的安全審計，代碼覆蓋率為100%，整體代碼審計採用源代碼掃描和人工分析確認相結合的方式進行分析，發現源代碼存在的安全漏洞。但整體代碼審計屬於白盒靜態分析，僅能發現代碼編寫存在的安全漏洞，無法發現業務功能存在的缺陷。 整體代碼審計付出的時間、代價很高，也很難真正讀懂這一整套程序，更難深入了解其業務邏輯。這種情況下，根據功能點定向審計、通過工具做介面測試等，能夠提高審計速度，更適合企業使用。

功能點人工代碼審計是對某個或某幾個重要的功能點的源代碼進行人工代碼審計，發現功能點存在的代碼安全問題，能夠發現一些業務邏輯層面的漏洞。功能點人工代碼審計需要收集系統的設計文檔、系統開發說明書等技術資料，以便代碼審計服務人員能夠更好的了解系統業務功能。由於人工代碼審計工作量極大，所以需要分析並選擇重要的功能點，有針對性的進行人工代碼審計。

知道創宇的安全工程師都具備多年代碼審計經驗，首先通覽程序的大體代碼結構，在根據文件的命名第一時間辨識核心功能點、重要介面。下面就介紹幾個功能、介面經常會出現的漏洞：

1. 登陸認證

a. 任意用戶登錄漏洞

b. 越權漏洞

2. 找回密碼

a. 驗證碼爆破漏洞

b. 重置管理員密碼漏洞

3. 文件上傳

a. 任意文件上傳漏洞

b. SQL注入漏洞

4. 在線支付，多為邏輯漏洞

a. 支付過程中可直接修改數據包中的支付金額

b. 沒有對購買數量進行負數限制

c. 請求重訪

d. 其他參數干擾

5. 介面漏洞

a. 操作資料庫的介面要防止sql注入

b. 對外暴露的介面要注意認證安全

為什麼選擇知道創宇安應用進行代碼審計？

知道創宇滲透測試流程：

在審計工程中，知道創宇資深安全工程師會結合豐富的安全知識、編程經驗、測試技術，利用靜態分析和人工審核的方法尋找代碼在架構和編碼上的安全缺陷，充分挖掘代碼中存在的安全缺陷，並指導開發人員正確修復程序缺陷，在代碼形成軟體產品前將業務軟體的安全風險降到最低。因為是對整個信息系統的所有源代碼進行檢查，所以代碼審計能夠從整套源代碼切入，明確至某個威脅點加以驗證，達到確定整體系統中安全隱患點的目的。

經過知道創宇高級安全工程師測試加固后的系統會變得更加穩定、安全，測試后的報告可以幫助管理人員進行更好的項目決策，同時證明增加安全預算的必要性，並將安全問題傳達到高級管理層，進行更好的安全認知，有助於進一步健全安全建設體系，遵循了相關安全策略、符合安全合規的要求。