亚洲av无码精品色午夜果冻不卡_国产草草影院ccyycom_97精品伊人久久久大香线蕉_亚洲av男人电影天堂

Security service
安全服務

       幫助(zhu)企業從安全角度對應用系統的所有邏輯路徑進行(xing)測(ce)試,通過分(fen)析源代碼(ma),充分(fen)挖掘(jue)代碼(ma)中存在(zai)的安全缺陷以及規范(fan)性缺陷。找到(dao)普通安全測(ce)試所無(wu)法(fa)發(fa)現的如二次注入、反序列化、xml實體注入(ru)等(deng)安(an)全漏(lou)洞。


一、為(wei)什么要做代(dai)碼審計

1、新上線系統

       新上(shang)線系(xi)(xi)統對(dui)互聯網環(huan)境(jing)的(de)適應性較差(cha),代碼(ma)審計可以充分挖掘代碼(ma)中(zhong)存在的(de)安(an)全缺(que)陷。避(bi)免系(xi)(xi)統剛上(shang)線就遇到(dao)重(zhong)大攻擊。

2、已(yi)運行系統

       先于黑(hei)客發現系統的安(an)全隱(yin)患,提(ti)前部署(shu)好(hao)安(an)全防(fang)御措施(shi),保證系統的每個環節在未知環境下都能經得起黑(hei)客挑戰。

3、明確(que)安全(quan)隱患點

      可從整套源代(dai)碼切入最終(zhong)明確至(zhi)某個(ge)威脅點并加以驗證(zheng)。

4、提高安全意識

       有(you)效防止管理人(ren)員遺漏缺陷,從而降低整(zheng)體風險。

5、提升開發人員技能

       通過審計報告(gao),以及(ji)安全(quan)人員與(yu)開發人員的溝(gou)通,開發人員更好的完善代碼安全(quan)開發規范。


二、服務(wu)內容

1、系統所用開(kai)源(yuan)框架(jia)

       包(bao)含java反序列化漏洞(dong),導致(zhi)遠(yuan)程代碼執行。SpringStruts2的相(xiang)關(guan)安全。

2、應用代碼關注要(yao)素

       日(ri)志(zhi)偽造漏(lou)洞,密碼明文存儲(chu),資源管理,調(diao)試程序殘(can)留,二(er)次注入,反序列化。

3API濫用(yong)

       不安全(quan)的(de)數(shu)據庫調用、隨(sui)機數(shu)創建(jian)、內存管理調用、字符串操(cao)作,危險的(de)系統方法調用。

4、源代(dai)碼設計

       不安全的(de)域(yu)、方法、類(lei)修飾符未(wei)使(shi)用(yong)的(de)外部引(yin)用(yong)、代碼。

5、錯(cuo)誤處理不(bu)當(dang)

       程序(xu)異常處理(li)、返回值用法(fa)、空指(zhi)針、日志記錄(lu)。

6、直接對象引用

       直(zhi)接引用數據庫(ku)中(zhong)的數據、文件系統、內存空間。

7、資源(yuan)濫用(yong)

       不安全的(de)文件創建/修(xiu)改/刪除,競爭沖突(tu),內存泄(xie)露。

8、業務邏輯錯(cuo)誤

        欺騙密碼找回功(gong)能,規避(bi)交(jiao)易(yi)限(xian)制(zhi),越權缺陷(xian)Cookiessession的(de)問題(ti)。

9、規(gui)范性權限(xian)配置(zhi)

       數(shu)據庫配置規(gui)范,Web服務的權限配置SQL語(yu)句編(bian)寫規范。


三、服務優勢

1、安全(quan)團隊能力強

       有政府、金融、電(dian)商、能源、教育(yu)等多(duo)個領域的安全項目經驗以及(ji)豐(feng)富的安全編(bian)碼經驗。

2、檢查項專業(ye)

       檢查類別涉及27大類,177個檢查(cha)(cha)項;同時提(ti)供不同等級檢查(cha)(cha)項供選(xuan)擇(ze)。

3、交(jiao)付體貼周到

       完善(shan)的報(bao)告交付要求(qiu),全程項目管(guan)控,實時(shi)在線問(wen)答。