代码审计

帮助企业从安全角度对应用系统的所有逻辑路径进行测试，通过分析源代码，充分挖掘代码中存在的安全缺陷以及规范性缺陷。找到普通安全测试所无法发现的如二次注入、反序列化、xml实体注入等安全漏洞。

立即咨询

新上线系统对互联网环境的适应性较差，代码审计可以充分挖掘代码中存在的安全缺陷。避免系统刚上线就遇到重大攻击。

先于黑客发现系统的安全隐患，提前部署好安全防御措施，保证系统的每个环节在未知环境下都能经得起黑客挑战。

可从整套源代码切入最终明确至某个威胁点并加以验证。

有效防止管理人员遗漏缺陷，从而降低整体风险。

通过审计报告，以及安全人员与开发人员的沟通，开发人员更好的完善代码安全开发规范。

主要审计内容

包含java反序列化漏洞，导致远程代码执行。Spring、Struts2的相关安全。

日志伪造漏洞，密码明文存储，资源管理，调试程序残留，二次注入，反序列化。

不安全的数据库调用、随机数创建、内存管理调用、字符串操作，危险的系统方法调用。

不安全的域、方法、类修饰符未使用的外部引用、代码。

程序异常处理、返回值用法、空指针、日志记录。

直接引用数据库中的数据、文件系统、内存空间。

不安全的文件创建／修改／删除，竞争冲突，内存泄露。

欺骗密码找回功能，规避交易限制,越权缺陷Cookies和session的问题。

数据库配置规范，Web服务的权限配置SQL语句编写规范。

两届CTF冠军，一届季军；有政府、金融、电商、能源、教育等多个领域的安全项目经验以及丰富的安全编码经验。

检查类别涉及27大类，177个检查项；同时提供不同等级检查项供选择。

完善的报告交付要求，全程项目管控，实时在线问答。