1、代碼審計方案作者:日期:代碼審計我司為xxxxxXI供信息系統所有代碼進行整體的安全審計。發現(源)代 碼存在的安全漏洞，并對導致安全漏洞的錯誤代碼進行定位和驗證，提供修復方案。語言方面可以支持：Java, JSP, C, C+,.NET (C#) ,XML, ASP PHP JS, VB等。運行環境支持： Windows RedHat Linux , Ubuntu, Centos,麒麟 Linux 等主流系統。服務期內對：? xxxxxx提供1次代碼審計，并提交相應次數的(源)代碼審計報告。1.1 代碼審計服務內容代碼審計服務的范圍包括使用 Java, JSP, C, C+,.NET (C#

2、) ,XML, ASP PHP JS, VB等主流語言開發的B/S、C/S應用系統，以及使用XML®言編寫的 文件、SQL語言和數據庫存儲過程等，運行環境支持Windows, Red Hat Linux ,Ubuntu, Centos,麒麟Linux等主流系統。源代碼安全審計服務從數據流分析、控制流分析、語義分析、配置分析、結 構分析等五個方面全面分析軟件源代碼安全問題。借助源代碼分析工具，針對信息系統源代碼掃描、分析，語言方面可以支持： Java/JSP C/C+, .NET平臺，TSQL/PLSQL, Cold Fusion , XML CFML ASP PHP JS, VB等。

3、操作系統方面支持： Windows, Solaris, Red Hat Linux, Mac OS X, HP-UX, IBM AIX等并對導致安全漏洞的錯誤代碼進行定位和驗證，提供修復方 案。1.2 代碼審計服務參考標準? CVE(Common Vulnerabilities & Exposures)公共漏洞字典表? OWAS POpen Web Application Security Project公共漏洞字典表?軟件安全開發標準(ISO/IEC 27034 )?獨立審計準則第20號-計算機信息系統環境下的審計? 審計署關于印發信息系統審計指南的通知（審計發【 2012】11號）

4、1.3 審計分類?整體代碼審計整體代碼審計是指代碼審計服務人員對被審計系統的所有源代碼進行整體 的安全審計，代碼覆蓋率為100%整體代碼審計采用源代碼掃描和人工分析確 認相結合的方式進行分析，發現源代碼存在的安全漏洞。但整體代碼審計屬于白 盒靜態分析，僅能發現代碼編寫存在的安全漏洞，無法發現業務功能存在的缺陷。?功能點人工代碼審計功能點人工代碼審計是對某個或某幾個重要的功能點的源代碼進行人工代 碼審計，發現功能點存在的代碼安全問題。功能點人工代碼審計需要收集系統的 設計文檔、系統開發說明書等技術資料，以便代碼審計服務人員能夠更好的了解 系統業務功能。由于人工代碼審計工作量極大，所以需要分析并選

5、擇重要的功能 點，有針對性的進行人工代碼審計。61.4 審計工具Fortify SCAFortify SCA是一個靜態的、白盒的軟件源代碼安全測試工具。它通過內置 的五大主要分析引擎：數據流、語義、結構、控制流、配置流等對應用軟件的源 代碼進行靜態的分析，分析的過程中與它特有的軟件安全漏洞規則集進行全面地 匹配、查找，從而將源代碼中存在的安全漏洞掃描出來，并給予整理報告。掃描 的結果中不但包括詳細的安全漏洞的信息，還會有相關的安全知識的說明，以及修復意見的提供。-T-# Or ME 二'a, oj!k : |。所*M，' -.唱 M kM:.;5I T的（*H UkzX，國的4

6、 M - 二卜尸v-i-U '& ""工-i luyiKSiHic -J； «Lrts>i-H tuHlelvw M 3 “tan dh BvaX'AH ii h-iG" ! «-'ll t» 生. . 4MEi"* 1HUMLP4 LB |Lh»U .工.BaKSta sn IF £M4ferf： J西軸5 IE Tt ETttT, FfH* 州.Ui3tm mMiH，1.5 代碼審計實施流程源代碼審計服務主要分為四個階段，包括代碼審計前期準備階段、代碼審計 階段實

7、施、復查階段實施以及成果匯報階段：?前期準備階段在實施代碼審計工作前，技術人員會和客戶對代碼審計服務相關的技術細節 進行詳細溝通。由此確認代碼審計的方案，方案內容主要包括確認的代碼審計范 圍、最終對象、審計方式、審計要求和時間等內容。?代碼審計階段實施在源代碼審計實施過程中，技術人員首先使用代碼審計的掃描工具對源代碼 進行掃描，完成初步的信息收集，然后由人工的方式對源代碼掃描結果進行人工 的分析和確認。根據收集的各類信息對客戶要求的重要功能點進行人工代碼審計。結合自動化源代碼掃描和人工代碼審計兩方的結果， 代碼審計服務人員需整 理代碼審計服務的輸出結果并編制代碼審計報告， 最終提交客戶和對報告

8、內容進 行溝通。?復測階段實施經過第一次代碼審計報告提交和溝通后，等待客戶針對代碼審計發現的問題 整改或加固。經整改或加固后，代碼審計服務人員進行回歸檢查，即二次檢查。 檢查結束后提交給客戶復查報告和對復查結果進行溝通。?成果匯報階段根據一次代碼審計和二次復查結果， 整理代碼審計服務輸出成果，最后匯總 形成信息系統代碼審計報告。圖代碼審計服務流程I前期準各階段前期技術溝通確定審計對象確定審計方式和時間成果收集整理人工代碼審計源代碼掃描輸出及提交報告報告內容溝通'復測階段實施報告內容溝通提交復查報告回歸檢查（二次復查）11;成果匯報階段!-整體成果匯報1.6 風險控制及輸出成果為避免風險

9、的產生，源代碼審計工作通常不會在生產或測試服務器 上進行。xxxxxXf息中心需要提供源代碼或存儲源代碼的計算機載體。 代碼審計服務人員會將一些代碼審計工具安裝在存儲源代碼的計算機載 體中，在完成代碼審計后卸載這些工具，以保護業務資產不受損害。在代碼審計過程中，確定代碼審計服務人員和配合人員的聯系方式， 便于及時溝通并解決服務過程中的各類問題。1.7 源代碼審計重點? 跨站請求偽裝漏洞漏洞：提交表單中沒有用戶特有的標識。影響：攻擊者可利用跨站請求偽裝（CSRF）漏洞假冒另一用戶發出未經授權 的請求，即惡意用戶盜用其他用戶的身份使用特定資源。? 注入漏洞漏洞：對訪問數據庫的SQL語句沒有進行任何

10、過濾，可能導致 SQL注入。影響：如果SQLS入成功，攻擊者可以獲取網站數據庫的信息， 可以修改刪 除數據庫，還可能獲取執行命令的權限，進而完全控制服務器。? 命令執行漏洞漏洞：系統中使用了一些調用操作系統函數的命令，在調用過程中，如果命 令的來源不可信，系統可能執行惡意命令。影響：攻擊者有可能把要執行的命令替換成惡意命令，如刪除系統文件。? 日志偽造漏洞漏洞：將未經驗證的用戶輸入寫入日志。影響：攻擊者可以利用該漏洞偽造日志條目或將惡意內容注入日志。? 參數篡改漏洞：一些重要參數可能會被篡改。影響：攻擊者能夠通過篡改重要參數或方法對系統進行攻擊。? 密碼明文存儲漏洞：配置文件中存儲明文密碼。影

11、響：在配置文件中存儲明文密碼可能會危及系統安全，攻擊者可以輕易獲取到系統密碼。? 配置文件缺陷漏洞：配置文件內容存在缺陷，例如未設置統一的錯誤響應頁面。影響：攻擊者能夠利用配置文件的缺陷對系統進行攻擊。? 路徑操作錯誤漏洞：用戶輸入沒有有效的安全控制手段就直接對文件進行操作。影響：攻擊者可以控制路徑參數，訪問或修改其他受保護的文件。? 資源管理漏洞：使用完資源后沒有關閉，或者可能關閉不成功。影響：攻擊者有可能通過耗盡資源池的方式發起拒絕服務攻擊，導致服務器性能降低，甚至宕機。? 不安全的Ajax調用漏洞：系統存在不安全的 Ajax調用。影響：攻擊者能夠利用該漏洞繞過驗證程序或直接編寫腳本調用Ajax方法實現越權操作。? 系統信息泄露漏洞：異常捕獲泄露系統信息。影響：攻擊者可以從泄露的信息中找到有用信息，發起有針對性的攻