您的位置:
咨询服务方案
详情介绍
SOLUSTION
代码审计
来源: | 作者:pmocb3033 | 发布时间: 2017-06-01 | 1261 次浏览 | 分享到:
代码审计服务是针对客户的基于ASP、ASP.NET、PHP、JSP等的WEB应用系统做代码的安全检查,找出其中存在的安全漏洞并给出相应的解决方法,提高WEB应用程序的安全性。WEB应用的开发人员在做程序开发的时候更偏重于其应用性,而忽略了安全性,这样就会造成WEB应用程序中存在过多的安全漏洞,WEB代码审计主要是为了审核出以下的安全漏洞:
  SQL注入漏洞:SQL注入主要是由于WEB应用的开发人员对带入数据库的变量过滤不严造成的,会导致攻击者可以通过该漏洞查询出数据库内的数据、服务器的信息等,甚至能够执行系统命令。

  XSS跨站漏洞:XSS漏洞即是跨站脚本攻击漏洞,主要是由于WEB应用的开发人员对用户请求的变量过滤不严造成的,会导致攻击者能够通过该漏洞对某个URL地址做恶意构造,比如嵌入一段窃取用户cookie的代码、用iframe包含进来还有病毒的页面等,当用户访问经过构造的URL地址时就会被攻击。

  CSRF跨站漏洞:CSRF漏洞即是跨站点伪造请求,主要是由于WEB应用的开发人员对用户请求的变量过滤不严造成的,会导致攻击者可以构造含有隐藏的连接的页面,当WEB应用的管理人员进行访问这个页面的时候就会执行里面的隐藏连接,比如:增加管理账号等。

  上传漏洞:上传漏洞主要是由于WEB应用的开发人员对外部上传的文件没有进行严格的文件类型验证造成的,会导致攻击者可以直接得到一个web后门。

  其他漏洞:WEB漏洞其他的方面还有很多。比如认证绕过漏洞,通过构造用户名和密码直接进入后台管理等;目录浏览漏洞,可以通过WEB程序查看服务器上面的文件信息等。

代码审计服务可以检测并报告用户的应用程序代码当前存在的弱点和安全隐患,安致信息将通过专业的工具软件和经验丰富的人工分析等手段对其进行深入分析,并提供相应的报告。可以帮助客户杜绝因SQL注入、跨站脚本等问题引起的入侵问题。同时,在发现这些问题的时候,可以协助编程人员在编程过程中的安全意识,避免相类似的问题重复出现。
上一篇: 安全加固
下一篇: 弱点评估
联系方式

地址:上海市长宁区仙霞路350号14号楼科创楼408室 邮编200336


电话:021-62713620


联系邮箱:GMD@engee.com.cn