代码审计服务技术白皮书v1.1讲解.docx

专业服务技术白皮书 代码审计服务 ■版本变更记录时间版本说明修改人2012/5/21V1.0文档创建、丰富内容专业服务部  -  PAGE \* ROMAN II - 目录 TOC \h \z \t 附录1（绿盟科技）,1,附录2（绿盟科技）,2,附录3（绿盟科技）,3,附录4（绿盟科技）,4,标题 1（绿盟科技）,1,标题 2（绿盟科技）,2,标题 3（绿盟科技）,3  HYPERLINK \l _Toc326160306 一. 概述  PAGEREF _Toc326160306 \h 1  HYPERLINK \l _Toc326160307 1.1 基本概念  PAGEREF _Toc326160307 \h 1  HYPERLINK \l _Toc326160308 1.2 代码审计与模糊测试  PAGEREF _Toc326160308 \h 1  HYPERLINK \l _Toc326160309 1.3 服务的必要性  PAGEREF _Toc326160309 \h 1  HYPERLINK \l _Toc326160310 1.4 客户收益  PAGEREF _Toc326160310 \h 2  HYPERLINK \l _Toc326160311 二. 服务的实施标准和原则  PAGEREF _Toc326160311 \h 2  HYPERLINK \l _Toc326160312 2.1 政策文件或标准  PAGEREF _Toc326160312 \h 2  HYPERLINK \l _Toc326160313 2.2 服务原则  PAGEREF _Toc326160313 \h 2  HYPERLINK \l _Toc326160314 三. xxxx代码审计服务  PAGEREF _Toc326160314 \h 3  HYPERLINK \l _Toc326160315 3.1 服务范围  PAGEREF _Toc326160315 \h 3  HYPERLINK \l _Toc326160316 3.2 服务分类  PAGEREF _Toc326160316 \h 3  HYPERLINK \l _Toc326160317 3.2.1 整体代码审计和功能点人工代码审计  PAGEREF _Toc326160317 \h 3  HYPERLINK \l _Toc326160318 3.2.2 单次服务和年度服务  PAGEREF _Toc326160318 \h 4  HYPERLINK \l _Toc326160319 3.3 服务流程  PAGEREF _Toc326160319 \h 4  HYPERLINK \l _Toc326160320 3.4 服务特点  PAGEREF _Toc326160320 \h 5  HYPERLINK \l _Toc326160321 3.5 服务报告  PAGEREF _Toc326160321 \h 6  HYPERLINK \l _Toc326160322 3.6 服务注意事项  PAGEREF _Toc326160322 \h 6  HYPERLINK \l _Toc326160323 四. 代码审计方法论  PAGEREF _Toc326160323 \h 7  HYPERLINK \l _Toc326160324 4.1 代码检查技术  PAGEREF _Toc326160324 \h 7  HYPERLINK \l _Toc326160325 4.1.1 源代码设计  PAGEREF _Toc326160325 \h 7  HYPERLINK \l _Toc326160326 4.1.2 错误处理不当  PAGEREF _Toc326160326 \h 7  HYPERLINK \l _Toc326160327 4.1.3 直接对象引用  PAGEREF _Toc326160327 \h 8  HYPERLINK \l _Toc326160328 4.1.4 资源滥用  PAGEREF _Toc326160328 \h 8  HYPERLINK \l _Toc326160329 4.1.5 API滥用  PAGEREF _Toc326160329 \h 8  HYPE