02.13.源代码审计服务技术白皮书v2.0.docxVIP

绿盟科技安全服务技术白皮书

源代码审计服务

■文档编号

NSF-2014SI

■密级

内部使用

■版本编号

3.0

■日期

2016/9/26

?DATE\@yyyy2016绿盟科技

■版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属DOCPROPERTYCompany绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经DOCPROPERTYCompany绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

■版本变更记录

时间

版本

说明

修改人

2014/01/01

V1.0

文档创建、丰富内容

安全服务部

2014/12/12

V2.0

丰富内容

安全服务部

2016/9/26

V3.0

丰富内容

安全服务部

■适用性声明

本文档是主要介绍北京神州绿盟信息安全股份有限公司（以下简称“绿盟科技”）的源代码审计服务具体内容和方法，用于客户的相关人员了解绿盟科技的该项服务。

-PAGE\*ROMAN

-PAGE\*ROMANI-

目录

TOC\h\z\t附录1（绿盟科技）,1,附录2（绿盟科技）,2,附录3（绿盟科技）,3,附录4（绿盟科技）,4,标题1（绿盟科技）,1,标题2（绿盟科技）,2,标题3（绿盟科技）,3一.概述 1

1.1基本概念 1

1.2源代码审计与模糊测试 1

1.3服务的必要性 1

1.4客户收益 2

二.服务的实施标准和原则 2

2.1政策文件或标准 2

2.2服务原则 2

三.绿盟科技源代码审计服务 3

3.1服务范围 3

3.2服务分类 3

3.2.1整体源代码审计和功能点人工源代码审计 3

3.2.2单次服务和年度服务 4

3.3服务流程 4

3.4服务特点 5

3.5服务报告 6

3.6服务注意事项 6

四.源代码审计方法论 7

4.1代码检查技术 7

4.1.1源代码设计 7

4.1.2错误处理不当 7

4.1.3直接对象引用 8

4.1.4资源滥用 8

4.1.5API滥用 8

4.2应用代码关注要素 9

4.2.1跨站脚本漏洞 9

4.2.2跨站请求伪装漏洞 9

4.2.3SQL注入漏洞 9

4.2.4命令执行漏洞 9

4.2.5日志伪造漏洞 9

4.2.6参数篡改 10

4.2.7密码明文存储 10

4.2.8配置文件缺陷 10

4.2.9路径操作错误 10

4.2.10资源管理 10

4.2.11不安全的Ajax调用 10

4.2.12系统信息泄露 11

4.2.13调试程序残留 11

五.相关工具 11

5.1信息收集工具 11

5.2静态分析工具 11

5.3源码提取工具 12

六.为什么选择绿盟科技 12

DOCPROPERTYTitle绿盟科技安全服务技术白皮书

PAGE12

-PAGE13-

?DATE\@yyyy2016绿盟科技 密级：内部使用

概述

基本概念

源代码审计（CodeReview）是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。

源代码审计服务的目的在于充分挖掘当前代码中存在的安全缺陷以及规范性缺陷，从而让开发人员了解其开发的应用系统可能会面临的威胁，并指导开发人员正确修复程序缺陷。

源代码审计与模糊测试

在漏洞挖掘过程中有两种重要的漏洞挖掘技术，分别是源代码审计和模糊测试（Fuzzing）。

源代码审计是通过静态分析程序源代码，找出代码中存在的安全性问题；而模糊测试则需要将测试代码执行起来，然后通过构造各种类型的数据来判断代码对数据的处理是否正常，以发现代码中存在的安全性问题。

由于采用的分析方法不同，这两项技术的应用场所也有所不同。源代码审计常用于由安全厂商或企业的安全部门发起的代码安全性检查工作；模糊测试则普遍用于软件开发和测试部门的程序测试。

服务的必要性

实践证明，程序的安全性是否有保障很大程度上取决于程序代码的质量，而保证代码质量最快捷有效的手段就是源代码审计。

在风险评估过程中，源代码审计是一般脆弱性评估的一种很好的补充，绿盟科技源代码审计服务的代码覆盖率为100%，能够找到一些安全测试所无法发现的安全漏洞。

同时，由于主持源代