原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
PAGE1
个人发卡系统源代码审计报告
个人发卡系统源代码审计报告 1
1.概述 1
1.1.什么是源代代码审计 1
2.本次源代码审计分为三个阶段: 2
3.审计对象 2
3.1.应用列表 3
3.2.参与人员 3
3.3.审计工具 3
4.现状分析 3
5.审计结果 4
5.1.文件包含漏洞 4
5.2.SQL注入 5
5.3.文件上传漏洞 7
5.4.越权访问 9
5.5.功能失效 10
概述
什么是源代代码审计
代码审计指的是检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过自动化工具或者人工审查的方式,对程序源代码逐条进行检查和分析。
代码审计是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析,能够找到普通安全测试所无法发现的安全漏洞。
审计的好处
99%的大型网站以及系统都被拖过库,泄漏了大量用户数据或系统暂时瘫痪,提前做好代码审计工作,非常大的好处就是将先于黑客发现系统的安全隐患,提前部署好安全防御措施,保证系统的每个环节在未知环境下都能经得起黑客挑战,进一步巩固客户对企业及平台的信赖。
审计的目的
本次源代码审计工作是通过对当前系统各模块的源代码进行审查,以检查代码在程序编写上可能引起的安全性和脆弱性问题。
审计依据
本次源代码审计工作主要突出代码编写的缺陷和脆弱性,以OWASPTOP10为检查依据,针对OWASP统计的问题作重点检查。
审计范围
根据XX给出的代码,对其WEB应用作脆弱性和缺陷、以及结构上的检查。通过了解业务系统,确定重点检查模块以及重要文件,提供可行性的解决方法。
审计方法
通过白盒(代码审计)的方式检查应用系统的安全性,白盒测试所采用的方法是工具审查+人工确认+人工抽取代码检查,依照OWASP2013TOP10所披露的脆弱性,根据业务流来检查目标系统的脆弱性、缺陷以及结构上的问题。
本次源代码审计分为三个阶段:
信息收集
此阶段中,源代码审计人员熟悉待审计WEB应用的结构设计、功能模块,并与客户相关人员商议、协调审计重点及源代码提供等方面的信息。
代码安全性分析
此阶段中,源代码审计人员会使用工具对源代码的脆弱性和安全缺陷进行初步的分析,然后根据客户关注的重点对部分代码进行手工审计,主要包含以下内容:
输入/输出验证。SQL注入、跨站脚本、拒绝服务攻击,对上传文件的控制等因为未能较好的控制用户提交的内容造成的问题;
安全功能。请求的参数没有限制范围导致信息泄露,Cookie超时机制和有效域控制,权限控制、日志审计等方面的内容;程序异常处理。忽略处理的异常、异常处理不恰当造成的信息泄露或是不便于进行错误定位等问题;
审计对象
在XX及WEB应用开发单位XX公司相关人员的协调与配合下,**公司安全测试小组于XXXX年XX月XX日至XX日对XX应用进行了源代码审计工作。在此期间内,暗月网络科技公司安全测试小组利用各种主流的代码审计工具以及手工检查等方式对网站主要功能模块的源代码进行了安全性及规范性检查,发现了源代码中存在的一些脆弱性、合规性问题及缺陷。
应用列表
本地代码审计的对象包括
基本信息
应用系统名称
个人发个平台
语言类型
PHP
参与人员
参与人员
工作职责
联系方式
暗月
代码审计安全研究员
136394000909
审计工具
工具一
工具名称
Seay代码审计工具
相关信息
源代码审计系统一款基于白盒测试的代码审计工具,具有自动代码审计功能,简化了人工审计的繁琐流程,使代码审计更加智能简洁。
工具二
工具名称
JetBrainsPhpStorm
相关信息
是一款强大的php代码编辑器
工具三
工具名称
ShortcuttoVisualCodeGrepper
相关信息
自动化代码审计工具
现状分析
在XX及WEB应用开发单位XX公司相关人员的协调与配合下,**公司安全测试小组于XXXX年XX月XX日至XX日对XX应用进行了源代码审计工作。在此期间内,暗月网络科技公司安全测试小组利用各种主流的代码审计工具以及手工检查等方式对网站主要功能模块的源代码进行了安全性及规范性检查,发现了源代码中存在的一些脆弱性、合规性问题及缺陷。
审计结果
文件包含漏洞
数量
1
描述
程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,而无需再次编写,这中文件调用的过程一般被称为文件包含。
潜在威胁
通过函数包含文件时,由于没有对包含的文件名进行有效的过滤处理,被攻击者利用从而导致了包含了Web根目录以外的文件进来,就会导致文件信息的泄露甚至注入了恶意代码。
所在页面
index.php
问题行数
29
问题代码
includetemplate/.$tp./.$actio
您可能关注的文档
最近下载
- 《白鹿原》中的女性形象分析.docx VIP
- 基于Java的汽车租赁系统的设计与实现 .docx VIP
- 中医养生,养生膏方功效.pptx VIP
- B16G101-2:中英文双语版16G101-2.pdf VIP
- 2025年四川省康定市辅警招聘考试题题库(含参考答案).docx VIP
- 呼吸器用复合气瓶定期检验与评定.pptx VIP
- 2025年四川省康定市辅警招聘考试题库及答案.docx VIP
- 什么是定向运动.pptx VIP
- 《食品企业管理(第2版》高职全套教学课件.pptx
- “马-萨模式”视域下“双减”政策执行制约因素及纾解路径——基于东中西部6省30个县(市、区)的调查.pdf VIP
文档评论(0)