代码审计服务术白皮书v1.1.docxVIP

专业服务技术白皮书 代码审计服务 ■版本变更记录 时间 版本 说明 修改人 2012/5/21 V1.0 文档创建、丰富内容 专业服务部 - PAGE \* ROMAN - PAGE \* ROMAN II - 目录 TOC \h \z \t 附录1（绿盟科技）,1,附录2（绿盟科技）,2,附录3（绿盟科技）,3,附录4（绿盟科技）,4,标题 1（绿盟科技）,1,标题 2（绿盟科技）,2,标题 3（绿盟科技）,3 HYPERLINK \l _Toc326160306 一. 概述 PAGEREF _Toc326160306 \h 1 HYPERLINK \l _Toc326160307 1.1 基本概念 PAGEREF _Toc326160307 \h 1 HYPERLINK \l _Toc326160308 1.2 代码审计与模糊测试 PAGEREF _Toc326160308 \h 1 HYPERLINK \l _Toc326160309 1.3 服务的必要性 PAGEREF _Toc326160309 \h 1 HYPERLINK \l _Toc326160310 1.4 客户收益 PAGEREF _Toc326160310 \h 2 HYPERLINK \l _Toc326160311 二. 服务的实施标准和原则 PAGEREF _Toc326160311 \h 2 HYPERLINK \l _Toc326160312 2.1 政策文件或标准 PAGEREF _Toc326160312 \h 2 HYPERLINK \l _Toc326160313 2.2 服务原则 PAGEREF _Toc326160313 \h 2 HYPERLINK \l _Toc326160314 三. xxxx代码审计服务 PAGEREF _Toc326160314 \h 3 HYPERLINK \l _Toc326160315 3.1 服务范围 PAGEREF _Toc326160315 \h 3 HYPERLINK \l _Toc326160316 3.2 服务分类 PAGEREF _Toc326160316 \h 3 HYPERLINK \l _Toc326160317 3.2.1 整体代码审计和功能点人工代码审计 PAGEREF _Toc326160317 \h 3 HYPERLINK \l _Toc326160318 3.2.2 单次服务和年度服务 PAGEREF _Toc326160318 \h 4 HYPERLINK \l _Toc326160319 3.3 服务流程 PAGEREF _Toc326160319 \h 4 HYPERLINK \l _Toc326160320 3.4 服务特点 PAGEREF _Toc326160320 \h 5 HYPERLINK \l _Toc326160321 3.5 服务报告 PAGEREF _Toc326160321 \h 6 HYPERLINK \l _Toc326160322 3.6 服务注意事项 PAGEREF _Toc326160322 \h 6 HYPERLINK \l _Toc326160323 四. 代码审计方法论 PAGEREF _Toc326160323 \h 7 HYPERLINK \l _Toc326160324 4.1 代码检查技术 PAGEREF _Toc326160324 \h 7 HYPERLINK \l _Toc326160325 4.1.1 源代码设计 PAGEREF _Toc326160325 \h 7 HYPERLINK \l _Toc326160326 4.1.2 错误处理不当 PAGEREF _Toc326160326 \h 7 HYPERLINK \l _Toc326160327 4.1.3 直接对象引用 PAGEREF _Toc326160327 \h 8 HYPERLINK \l _Toc326160328 4.1.4 资源滥用 PAGEREF _Toc326160328 \h 8 HYPERLINK \l _Toc326160329 4.1.5 API滥用 PAGEREF _Toc326160329 \h 8 HYPERLINK \l _Toc326160330 4.2 应用代码关注要素 PAGEREF _Toc326160330 \h 9 HYPERLINK \l _Toc326160331 4.2.1 跨站脚本漏洞 PAGEREF _Toc326160331 \h 9 HYPERLINK \l _Toc32616033