当下,利用软件漏洞攻击的网络事件频发,因此产生的损失和负面影响也日趋严重。每年**因漏洞导致的经济损失巨大并且在逐年增加,显而易见的是,漏洞已经成为互联网安全的头部危害之一。各大企业和软件开发服务商,也逐渐开始重视软件安全的重要性,期望通过规避风险带来效益。
漏洞扫描,对应用程序进行静态漏洞扫描,分析源代码中存在的安全风险,运行应用于模拟器中对应用进行实时漏洞攻击检测。
代码审计就是检查源代码中的安全漏洞,检查程序源代码是否存在安全隐患,或者是否存在编码违规行为,通过自动化工具或者人工审核,对程序源代码进行一一检查分析,找出这些源代码缺陷造成的安全漏洞,并提供代码修改措施和建议。第三方检测机构-腾创软件测评在源代码漏洞扫描、代码审计方面就具备丰富的测试经验,对未经编译的软件源代码进行代码扫描分析,快速识别安全漏洞及发现合规方面存在的问题,并向企业指出漏洞的位置和分析修复方法。
代码审计中常见的风险漏洞:
高风险漏洞:
非边界检查函数;
可能干扰后续边界检查的缓冲区的指针操作;
调用像execve();
输入验证;
文件包含功能;
对于可能与代码链接的库,返回对内部可变数据结构(记录,数组)的引用。
低风险漏洞:
客户端代码漏洞不影响服务器端;用户名枚举;目录遍历。