源代码审计

源码安全审计:

     对应用的源代码进行白盒分析,发现源代码中存在的安全隐患。

服务目标:

     对现有代码进行安全分析,并对导致安全漏洞的代码进行定位。

服务对象:

     C/S、B/S架构应用;Java、C#、C/C++、PHP、ASP、VB、Python、.net、ruby等

服务方法:

     以工具与人工相结合的方式进行分析核查,以降低审计工具所产生的误报率。

服务交付物:

     《源代码审计报告》,概述代码安全问题,并提出安全性的修复方案

代码审计步骤:

 777.png

代码审计内容:

1、不安全的字符过滤

1.png

2、不安全的数据库查询

2.png

3、不安全的文件访问

3.png

4、不安全的图形验证码

4.png

5、不安全的密码存储

5.png

6、密码修改验证逻辑缺陷

旧密码验证仅使用javascript在客户端完成,服务端并未验证旧密码。

 6.png