源代码审计
作者:互联网
源代码审计工作通过分析当前应用系统的源代码,熟悉业务系统,从应用系统结构方面检查其各模块和功能之间的关联、权限验证等内容;从安全性方面检查其脆弱性和缺陷。在明确当前安全现状和需求的情况下,对下一步的编码安全规范性建设有重大的意义。
代码安全审计=代码安全测试+代码安全开发;除了交给安全人员外,开发人员也应该参与进来。但综合来看代码审计是一个很专业的工作。
源代码审计工作利用一定的编程规范和标准,针对应用程序源代码,从结构、脆弱性以及缺陷等方面进行审查,以发现当前应用程序中存在的安全缺陷以及代码的规范性缺陷。黑盒的是渗透测试,白盒的是代码审计。
安全圈里有句老话:一切的用户输入都是有害的。的确,我们的所有安全测试都是基于这一点的.既然用户的一切输入都是有害的那么怎样使这个危害显现出来呢,这就引入了安全的另一句话:有害的数据进入了危险的函数便产生了漏洞 ,因此我们可以总结出安全的两个基本点:数据和函数 ,我们所做的所有安全相关的工作都是基于这两点。源代码审计也不例外。
审核目的
源代码审计工作是通过对当前系统各模块的源代码进行审查,以检查代码在程序编写上可能引起的安全性和脆弱性问题。
码安全审计的主要宗旨就是在编码环节,以自我审计的方式去尽量减少和消除这些不安全的编码方式和编码习惯,确保不会有安全漏洞的产生。
审核依据
源代码审计工作主要突出代码编写的缺陷和脆弱性,以OWAS
标签:审计,审计工作,代码,脆弱性,安全,源代码 来源: https://blog.csdn.net/ch1209498273/article/details/115671366