?網(wǎng)站代碼審計(jì)

一對(duì)一服務(wù)  專(zhuān)業(yè)團(tuán)隊(duì)  對(duì)源代碼進(jìn)行全面的人工安全審計(jì)

顧名思義就是檢查源代碼中的安全缺陷，檢查程序源代碼是否存在安全隱患，或者有編碼不規(guī)范的地方，通過(guò)人工審查的方式，對(duì)程序源代碼逐條進(jìn)行檢查和分析，發(fā)現(xiàn)這些源代碼缺陷引發(fā)的安全漏洞，并提供代碼修復(fù)措施和建議。

服務(wù)內(nèi)容：（網(wǎng)站程序代碼的安全審計(jì)，包括PHP、ASP、JSP、.NET等程序代碼的安全審計(jì)，上傳漏洞，SQL注入漏洞，身份驗(yàn)證漏洞，XSS跨站漏洞，命令執(zhí)行漏洞，文件包含漏洞，越權(quán)漏洞，篡改信息漏洞，以及水平垂直權(quán)限提升漏洞等的安全審計(jì))

代碼審計(jì)是找到應(yīng)用缺陷的過(guò)程。其通常有白盒、黑盒、灰盒等方式。白盒指通過(guò)對(duì)源代碼的分析找到應(yīng)用缺陷，黑盒通常不涉及到源代碼，多使用模糊測(cè)試的方式，而灰盒則是黑白結(jié)合的方式。

1. 輸入

應(yīng)用的輸入，可以是請(qǐng)求的參數(shù)（GET、POST等）、上傳的文件、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)等用戶(hù)可控或者間接可控的地方。

2. 處理函數(shù)

處理數(shù)據(jù)的函數(shù)，可能是過(guò)濾，也可能是編解碼。

3. 危險(xiǎn)函數(shù)

又常叫做Sink Call、漏洞點(diǎn)，是可能觸發(fā)危險(xiǎn)行為如文件操作、命令執(zhí)行、數(shù)據(jù)庫(kù)操作等行為的函數(shù)。