源代碼審計報告

目錄TOC\h\z\t"附錄1（綠盟科技）,1,附錄2（綠盟科技）,2,附錄3（綠盟科技）,3,附錄4（綠盟科技）,4,標題1（綠盟科技）,1,標題2（綠盟科技）,2,標題3（綠盟科技）,3"一.概述 1源代碼審計概述 1項目概述 2二.審核對象 3應(yīng)用列表 3參加人員 3代碼審計所使用的有關(guān)資源 3Microsoft 3MicrosoftVisualStudioCodeAnalysis 4SSWCodeAuditor 4三.現(xiàn)狀分析 4四.審計成果 4門戶（Portal） 4顧客管理模塊 5站內(nèi)搜索模塊 5文獻上傳模塊 6日志管理模塊 6錯誤解決模塊 7產(chǎn)品及解決方案 8合作伙伴 12客戶支持 18工作機會 21EDM 24討論組 25五.審計結(jié)論與建議 28審計成果簡評 28脆弱性和缺點編程意見 29定時進行代碼抽樣審計 30系統(tǒng)上線邁進行全方面的測試 30制訂完善的開發(fā)文檔 30概述源代碼審計概述源代碼審計工作通過分析現(xiàn)在應(yīng)用系統(tǒng)的源代碼，熟悉業(yè)務(wù)系統(tǒng)，從應(yīng)用系統(tǒng)構(gòu)造方面檢查其各模塊和功效之間的關(guān)聯(lián)、權(quán)限驗證等內(nèi)容；從安全性方面檢查其脆弱性和缺點。在明確現(xiàn)在安全現(xiàn)狀和需求的狀況下，對下一步的編碼安全規(guī)范性建設(shè)有重大的意義。源代碼審計工作運用一定的編程規(guī)范和原則，針對應(yīng)用程序源代碼，從構(gòu)造、脆弱性以及缺點等方面進行審查，以發(fā)現(xiàn)現(xiàn)在應(yīng)用程序中存在的安全缺點以及代碼的規(guī)范性缺點。審核目的本次源代碼審計工作是通過對現(xiàn)在系統(tǒng)各模塊的源代碼進行審查，以檢查代碼在程序編寫上可能引發(fā)的安全性和脆弱性問題。審核根據(jù)本次源代碼審計工作重要突出代碼編寫的缺點和脆弱性，以O(shè)WASPTOP10為檢查根據(jù)，針對OWASP統(tǒng)計的問題作重點檢查。點擊打開文檔OWASPTOP10審計范疇根據(jù)XX給出的代碼，對其WEB應(yīng)用作脆弱性和缺點、以及構(gòu)造上的檢查。通過理解業(yè)務(wù)系統(tǒng)，擬定重點檢查模塊以及重要文獻，提供可行性的解決辦法。審計辦法通過白盒（代碼審計）的方式檢查應(yīng)用系統(tǒng)的安全性，白盒測試所采用的辦法是工具審查+人工確認+人工抽取代碼檢查，根據(jù)OWASPTOP10所披露的脆弱性，根據(jù)業(yè)務(wù)流來檢查目的系統(tǒng)的脆弱性、缺點以及構(gòu)造上的問題。本次源代碼審計分為三個階段：信息收集此階段中，源代碼審計人員熟悉待審計WEB應(yīng)用的構(gòu)造設(shè)計、功效模塊，并與客戶有關(guān)人員商議、協(xié)調(diào)審計重點及源代碼提供等方面的信息。代碼安全性分析此階段中，源代碼審計人員會使用工具對源代碼的脆弱性和安全缺點進行初步的分析，然后根據(jù)客戶關(guān)注的重點對部分代碼進行手工審計，重要包含下列內(nèi)容：輸入/輸出驗證。SQL注入、跨站腳本、回絕服務(wù)攻擊，對上傳文獻的控制等由于未能較好的控制顧客提交的內(nèi)容造成的問題；安全功效。請求的參數(shù)沒有限制范疇造成信息泄露，Cookie超時機制和有效域控制，權(quán)限控制、日志審計等方面的內(nèi)容；程序異常解決。無視解決的異常、異常解決不恰當造成的信息泄露或是不便于進行錯誤定位等問題；代碼規(guī)范性檢查此階段中，源代碼審計人員重要是運用某些代碼規(guī)范檢查工具對網(wǎng)站各功效模塊的代碼進行合規(guī)性檢查，重要目的在于提高代碼質(zhì)量，使其更符合編碼規(guī)范的規(guī)定，重要涉及下列內(nèi)容：代碼質(zhì)量。例如對象錯誤或不適合調(diào)用造成程序未能按預(yù)期的方式執(zhí)行，功效缺失；類組員與其封裝類同名，變量賦值后不使用等；封裝。多出的注釋信息、調(diào)試信息問題造成應(yīng)用系統(tǒng)信息暴露，錯誤的變量聲明等。API濫用。例如調(diào)用非本單位直接控制的資源、對象過于頻繁調(diào)用、直接調(diào)用空對象造成系統(tǒng)資源消耗過大或是程序執(zhí)行效率低下等問題。項目概述在XX及WEB應(yīng)用開發(fā)單位XX公司有關(guān)人員的協(xié)調(diào)與配合下，**公司安全測試小組于XXXX年XX月XX日至XX日對XX應(yīng)用進行了源代碼審計工作。在此期間內(nèi)，**公司安全測試小組運用多個主流的代碼審計工具以及手工檢查等方式對網(wǎng)站重要功效模塊的源代碼進行了安全性及規(guī)范性檢查，發(fā)現(xiàn)了源代碼中存在的某些脆弱性、合規(guī)性問題及缺點。本文檔即為**公司安全測試小組在進行代碼審計工作完畢后所提交的報告資料，用于對XXWEB應(yīng)用的安全狀況從代碼層面作出分析和建議。**公司代碼審計服務(wù)是通過授權(quán)的，也是有時間限制的。審核對象應(yīng)用列表本次代碼審核的對象涉及：基本信息應(yīng)用系統(tǒng)名稱XXWEB應(yīng)用語言類型ASP（VB）（C#）PHPJSP（JAVA）其它________________參加人員參加人員工作職責(zé)聯(lián)系方式XXXXXXXXX審計工具工具一工具名稱XXXX工具用途有關(guān)信息工具二工具名稱XXXX工具用途有關(guān)信息……現(xiàn)狀分析XX門戶網(wǎng)站是由XX公司開發(fā)的基于XXX語言的網(wǎng)站，重要功效有產(chǎn)品及解決方案、合作伙伴、客戶支持、工作機會、eDM以及貫穿多個模塊的討論組。根據(jù)模塊的不同進行訪問權(quán)限的控制。整個網(wǎng)站采用唯一的訪問入口，全部模塊均由系統(tǒng)根據(jù)權(quán)限和參數(shù)來進行控制。系統(tǒng)顧客根據(jù)權(quán)限的不同分為超級管理員、模塊管理員和顧客三個級別。前臺顧客訪問使用HTTP合同，后臺管理員維護使用HTTPS合同，以確保通訊安全。除了產(chǎn)品及解決方案、合作伙伴、討論組、工作機會、客戶支持五個模塊進行了定制開發(fā)以外，整個網(wǎng)站的基礎(chǔ)架構(gòu)（如顧客管理、權(quán)限管理、網(wǎng)站安全、文獻上傳下載等）均采用成熟的平臺來構(gòu)建。因此，最可能出現(xiàn)多個問題的地方也集中在各個定制模塊當中，源代碼審計的重點也集中在這幾部分的代碼上。審計成果XX模塊XXXXXX編號NS-SCA-XXXX-XX描述潛在威脅所在頁面問題行數(shù)修改建議XXXXXX編號NS-SCA-XXXX-XX描述潛在威脅所在頁面問題行數(shù)修改建議審計結(jié)論與建議審計成果簡評通過對XXWEB應(yīng)用進行為期XX天的源代碼審計，我們得出以下結(jié)論：底層平臺采用了較為成熟的顧客管理、權(quán)限控制、模塊動態(tài)加載及訪問控制技術(shù)，代碼的編寫基本符合編碼規(guī)范的規(guī)定。但在部分功效模塊上還存在某些問題，需要加于改善，重要體現(xiàn)在下列幾個方面：XXXXXX……XXXXXX……注意事項脆弱性和缺點編程意見通過本次代碼審計，也發(fā)現(xiàn)了被檢測WEB應(yīng)用存在的某些問題或缺點，在本節(jié)我們會根據(jù)我們的經(jīng)驗來提出某些改善意見或建議，供WEB應(yīng)用開發(fā)、管理人員參考。這部分內(nèi)容對于后期的維護和擴展也有一定的指導(dǎo)意義。永遠不要相信顧客的輸入顧客的輸入重要涉及下列幾類：WEB訪問請求中URL的參數(shù)部分；HTML表單通過POST或GET請求提交的數(shù)據(jù)；在客戶端臨時保存的數(shù)據(jù)（也就是Cookie）；數(shù)據(jù)庫查詢。安全功效方面不要過于信任應(yīng)用程序訪問控制規(guī)則；身份鑒別系統(tǒng)和會話管理可能會被繞過或是被篡改；存儲的敏感信息可能被抽取。其它：服務(wù)器：安裝最新的補丁，減少WEB應(yīng)用運行顧客的權(quán)限，適宜設(shè)立應(yīng)用所在目錄的讀寫權(quán)限。WEB服務(wù)器軟件：不要啟動目錄瀏覽、寫入、腳本資源訪問等功效。錯誤解決：必須關(guān)閉具體錯誤顯示，比較好的解決方式是啟動錯誤重定向功效在出錯后重定向到指定頁面（如網(wǎng)站首頁），并且這個頁面不能把異常信息發(fā)送給客戶端，如：<customErrorsmode="On"defaultRedirect=""/>代碼質(zhì)量：重要是指可用性、可維護性、運行效率、重復(fù)代碼量等等指標，高質(zhì)量的代碼不僅易于維護，并且運行效率高，由于當受到回絕服務(wù)攻擊時能夠有效減少對系統(tǒng)的影響。好的代碼依賴于合理的系統(tǒng)架構(gòu)、優(yōu)秀的程序編寫人員和嚴謹?shù)墓ぷ髯黠L(fēng)。定時進行代碼抽樣審計即使我們在本次代碼審計中發(fā)現(xiàn)了這些問題，并且相信這些安全隱患能夠在短時間內(nèi)解決。我們?nèi)匀唤ㄗh您定時進行類似的安全抽樣