3代码审计报告.pdfVIP

源代码审计报告 - I- 目录 一 概述. 1 1.1 源代码审计概述 1 1.2 项目概述 2 二 审核对象. 3 2.1 应用列表 3 2.2 参与人员 3 2.3 代码审计所使用的相关资源错误！未定义书签。 2.3.1 Microsoft CAT.NAT错误！未定义书签。 2.3.2 Microsoft Visual Studio 2008 Code Analysis错误！未定义书签。 2.3.3 SSW Code Auditor 错误！未定义书签。 三 现状分析. 4 四 审计结果. 4 4.1 PORTAL 门户 （ ） 错误！未定义书签。 4.1.1 用户管理模块4 4.1.2 站内搜索模块错误！未定义书签。 4.1.3 文件上传模块错误！未定义书签。 4.1.4 日志管理模块错误！未定义书签。 4.1.5 错误处理模块错误！未定义书签。 4.2 产品及解决方案 错误！未定义书签。 4.3 合作伙伴 错误！未定义书签。 4.4 客户支持 错误！未定义书签。 4.5 工作机会 错误！未定义书签。 4.6 EDM 错误！未定义书签。 4.7 讨论组错误！未定义书签。 五 审计结论与建议. 5 5.1 审计结果简评 5 5.2 脆弱性和缺陷编程意见 5 5.3 定期进行代码抽样审计 6 5.4 系统上线前进行全面的测试 6 5.5 制定完善的开发文档 7 - II- 一 概述. 1.1 源代码审计概述 源代码审计工作通过分析当前应用系统的源代码，熟悉业务系统，从应用系统结构方面 检查其各模块和功能之间的关联、权限验证等内容；从安全性方面检查其脆弱性和缺陷。在 明确当前安全现状和需求的情况下，对下一步的编码安全规范性建设有重大的意义。 源代码审计工作利用一定的编程规范和标准，针对应用程序源代码，从结构、脆弱性以 及缺陷等方面进行审查，以发现当前应用程序中存在的安全缺陷以及代码的规范性缺陷。 审核目的 本次源代码审计工作是通过对当前系统各模块的源代码进行审查，以检查代码在程序编 写上可能引起的安全性和脆弱性问题。 审核依据 本次源代码审计工作主要突出代码编写的缺陷和脆弱性，以OWASPTOP 10 2010 为检 查依据，针对OWASP统计的问题作重点检查。  点击打开文档OWASPTOP 10 2010 审计范围 根据XX 给出的代码，对其WEB应用作脆弱性和缺陷、以及结构上的检查。通过了解业 务系统，确定重点检查模块以及重要文件，提供可行性的解决方法。 审计方法 通过白盒 （代码审计）的方式检查应用系统的安全性，白盒测试所采用的方法是工具审 查+人工确认+人工抽取代码检查，依照OWASP2010TOP 10 所披露的脆弱性，根据业务流 来检查目标系统的脆弱性、缺陷以及结构上的问题。 本次源代码审计分为三个阶段： 信息收集 此阶段中，源代码审计人员熟悉待审计WEB应用的结构设计、功能模块，并与客户相关 人员商议、协调审计重点及源代码提供等方面的信息。 - 1- 代码安全性分析 此阶段中，源代码审计人员会使用工具对源代码的脆弱性和安全缺陷进行初步的分析， 然后根据客户关注的重点对部分代码进行手工审计，主要包含以下内容：  输入/输