代碼審計方案

..代碼審計XXXXXX（源）代：Java，JSP，C，C++,.NET（C#）,XML，ASP，PHP，JS，VBWindows，RedHatLinux，Ubuntu，Centos，麒麟Linux等主流系統(tǒng)。服務期內(nèi)對：xxxxxx提供1（源）代碼審計服務內(nèi)容代碼審計服務的范圍包括使用Java，JSP，C，C++,.NET（C#）,XML，ASP，B/S、C/SXMLWindows，RedHatLinux，Linux構(gòu)分析等五個方面全面分析軟件源代碼安全問題。Java/JSPC/C++,.NET,TSQL/PLSQL,ColdFusion，XML，CFML，ASP，PHP，Solaris,RedHatLinux,MacOSX,HP-UX,IBMAIX。代碼審計服務參考標準CVE(CommonVulnerabilities&Exposures)公共漏洞字典表OWASP（OpenWebApplicationSecurityProject《軟件安全開發(fā)標準》（ISO/IEC27034）《獨立審計準則第20號-計算機信息系統(tǒng)環(huán)境下的審計》《審計署關(guān)于印發(fā)信息系統(tǒng)審計指南的通知》（審計發(fā)【2012】11）審計分類整體代碼審計整體代碼審計是指代碼審計服務人員對被審計系統(tǒng)的所有源代碼進行整體100%，整體代碼審計采用源代碼掃描和人工分析確功能點人工代碼審計功能點人工代碼審計是對某個或某幾個重要的功能點的源代碼進行人工代點，有針對性的進行人工代碼審計。審計工具FortifySCAFortifySCA是一個靜態(tài)的、白盒的軟件源代碼安全測試工具。它通過內(nèi)置修復意見的提供。代碼審計實施流程階段實施、復查階段實施以及成果匯報階段：前期準備階段圍、最終對象、審計方式、審計要求和時間等內(nèi)容。代碼審計階段實施的分析和確認。根據(jù)收集的各類信息對客戶要求的重要功能點進行人工代碼審計。行溝通。復測階段實施檢查結(jié)束后提交給客戶復查報告和對復查結(jié)果進行溝通。成果匯報階段圖代碼審計服務流程風險控制及輸出成果XXXXXX卸載這些工具，以保護業(yè)務資產(chǎn)不受損害。時溝通并解決服務過程中的各類問題。源代碼審計重點跨站請求偽裝漏洞漏洞：提交表單中沒有用戶特有的標識。(CSRF)的請求，即惡意用戶盜用其他用戶的身份使用特定資源。注入漏洞SQLSQLSQL除數(shù)據(jù)庫，還可能獲取執(zhí)行命令的權(quán)限，進而完全控制服務器。命令執(zhí)行漏洞令的來源不可信，系統(tǒng)可能執(zhí)行惡意命令。影響：攻擊者有可能把要執(zhí)行的命令替換成惡意命令，如刪除系統(tǒng)文件。日志偽造漏洞漏洞：將未經(jīng)驗證的用戶輸入寫入日志。影響：攻擊者可以利用該漏洞偽造日志條目或?qū)阂鈨?nèi)容注入日志。參數(shù)篡改漏洞：一些重要參數(shù)可能會被篡改。影響：攻擊者能夠通過篡改重要參數(shù)或方法對系統(tǒng)進行攻擊。密碼明文存儲漏洞：配置文件中存儲明文密碼。取到系統(tǒng)密碼。配置文件缺陷影響：攻擊者能夠利用配置文件的缺陷對系統(tǒng)進行攻擊。路徑操作錯誤資源管理漏洞：使用完資源后沒有關(guān)閉，或者可能關(guān)閉不成功。性能降低，甚至宕機。Ajax漏洞：系統(tǒng)存在不安全的Ajax調(diào)用。Ajax實現(xiàn)越權(quán)操作。系統(tǒng)信息泄露漏洞：異常捕獲泄露系統(tǒng)信息。影響：攻擊者可以從泄露的信息中找到有用信息，發(fā)起有針對性的攻擊。調(diào)試程序殘留漏洞：代碼包含調(diào)試程序，如：主函數(shù)。影響：調(diào)試程序會在應用程序中建立一些意想不到的入口點被攻擊者利用。輸出成果及客