1、TOC o 1-5 h z HYPERLINK l bookmark0 .概述1 HYPERLINK l bookmark2 源代碼審計(jì)概述1項(xiàng)目概述2 HYPERLINK l bookmark6 .審核對(duì)象3 HYPERLINK l bookmark8 應(yīng)用列表3 HYPERLINK l bookmark10 參與人員3代碼審計(jì)所使用的相關(guān)資源錯(cuò)誤!未定義書簽。MicrosoftCAT.NAT錯(cuò)誤!未定義書簽。MicrosoftVisualStudio2008CodeAnalysis.錯(cuò)誤!未定義書簽。SSWCodeAuditor錯(cuò)誤!未定義書簽。TOC o 1-5 h z HYPERLIN

2、K l bookmark14 .現(xiàn)狀分析4 HYPERLINK l bookmark16 .審計(jì)結(jié)果4門戶（Portal）錯(cuò)誤!未定義書簽。用戶管理模塊4站內(nèi)搜索模塊錯(cuò)誤!未定義書簽。文件上傳模塊錯(cuò)誤!未定義書簽。日志管理模塊錯(cuò)誤!未定義書簽。錯(cuò)誤處理模塊錯(cuò)誤!未定義書簽。產(chǎn)品及解決方案錯(cuò)誤!未定義書簽。合作伙伴錯(cuò)誤!未定義書簽?？蛻糁С皱e(cuò)誤!未定義書簽。工作機(jī)會(huì)錯(cuò)誤!未定義書簽。EDM錯(cuò)誤!未定義書簽。討論組錯(cuò)誤!未定義書簽。TOC o 1-5 h z HYPERLINK l bookmark20 .審計(jì)結(jié)論與建議5 HYPERLINK l bookmark22 審計(jì)結(jié)果簡評(píng)5 HYPERL

3、INK l bookmark24 脆弱性和缺陷編程意見5 HYPERLINK l bookmark26 定期進(jìn)行代碼抽樣審計(jì)6 HYPERLINK l bookmark28 系統(tǒng)上線前進(jìn)行全面的測(cè)試6制定完善的開發(fā)文檔7一.概述源代碼審計(jì)概述源代碼審計(jì)工作通過分析當(dāng)前應(yīng)用系統(tǒng)的源代碼，熟悉業(yè)務(wù)系統(tǒng)，從應(yīng)用系統(tǒng)結(jié)構(gòu)方面檢查其各模塊和功能之間的關(guān)聯(lián)、權(quán)限驗(yàn)證等內(nèi)容；從安全性方面檢查其脆弱性和缺陷。在明確當(dāng)前安全現(xiàn)狀和需求的情況下，對(duì)下一步的編碼安全規(guī)范性建設(shè)有重大的意義。源代碼審計(jì)工作利用一定的編程規(guī)范和標(biāo)準(zhǔn)，針對(duì)應(yīng)用程序源代碼，從結(jié)構(gòu)、脆弱性以及缺陷等方面進(jìn)行審查，以發(fā)現(xiàn)當(dāng)前應(yīng)用程序中存在的安全

4、缺陷以及代碼的規(guī)范性缺陷。審核目的本次源代碼審計(jì)工作是通過對(duì)當(dāng)前系統(tǒng)各模塊的源代碼進(jìn)行審查，以檢查代碼在程序編寫上可能引起的安全性和脆弱性問題。審核依據(jù)本次源代碼審計(jì)工作主要突出代碼編寫的缺陷和脆弱性，以O(shè)WASPTOP102010為檢查依據(jù)，針對(duì)OWASP統(tǒng)計(jì)的問題作重點(diǎn)檢查。ij點(diǎn)擊打開文檔OWASPTOP102010審計(jì)范圍根據(jù)XX給出的代碼，對(duì)其WEB應(yīng)用作脆弱性和缺陷、以及結(jié)構(gòu)上的檢查。通過了解業(yè)務(wù)系統(tǒng)，確定重點(diǎn)檢查模塊以及重要文件，提供可行性的解決方法。審計(jì)方法通過白盒（代碼審計(jì)）的方式檢查應(yīng)用系統(tǒng)的安全性，白盒測(cè)試所采用的方法是工具審查+人工確認(rèn)+人工抽取代碼檢查，依照OWASP

5、2010TOP10所披露的脆弱性，根據(jù)業(yè)務(wù)流來檢查目標(biāo)系統(tǒng)的脆弱性、缺陷以及結(jié)構(gòu)上的問題。本次源代碼審計(jì)分為三個(gè)階段：信息收集此階段中，源代碼審計(jì)人員熟悉待審計(jì)WEB應(yīng)用的結(jié)構(gòu)設(shè)計(jì)、功能模塊，并與客戶相關(guān)人員商議、協(xié)調(diào)審計(jì)重點(diǎn)及源代碼提供等方面的信息。代碼安全性分析此階段中，源代碼審計(jì)人員會(huì)使用工具對(duì)源代碼的脆弱性和安全缺陷進(jìn)行初步的分析，然后根據(jù)客戶關(guān)注的重點(diǎn)對(duì)部分代碼進(jìn)行手工審計(jì)，主要包含以下內(nèi)容：輸入/輸出驗(yàn)證。SQL注入、跨站腳本、拒絕服務(wù)攻擊，對(duì)上傳文件的控制等因?yàn)槲茨茌^好的控制用戶提交的內(nèi)容造成的問題；安全功能。請(qǐng)求的參數(shù)沒有限制范圍導(dǎo)致信息泄露，Cookie超時(shí)機(jī)制和有效域控制，

6、權(quán)限控制、日志審計(jì)等方面的內(nèi)容；程序異常處理。忽略處理的異常、異常處理不恰當(dāng)造成的信息泄露或是不便于進(jìn)行錯(cuò)誤定位等問題；代碼規(guī)范性檢查此階段中，源代碼審計(jì)人員主要是利用一些代碼規(guī)范檢查工具對(duì)網(wǎng)站各功能模塊的代碼進(jìn)行合規(guī)性檢查，主要目的在于提高代碼質(zhì)量，使其更符合編碼規(guī)范的要求，主要包括以下內(nèi)容：代碼質(zhì)量。例如對(duì)象錯(cuò)誤或不適合調(diào)用導(dǎo)致程序未能按預(yù)期的方式執(zhí)行，功能缺失；類成員與其封裝類同名，變量賦值后不使用等；封裝。多余的注釋信息、調(diào)試信息問題導(dǎo)致應(yīng)用系統(tǒng)信息暴露，錯(cuò)誤的變量聲明等。API濫用。例如調(diào)用非本單位直接控制的資源、對(duì)象過于頻繁調(diào)用、直接調(diào)用空對(duì)象導(dǎo)致系統(tǒng)資源消耗過大或是程序執(zhí)行效率低

7、下等問題。在XX及WEB應(yīng)用開發(fā)單位XX公司相關(guān)人員的協(xié)調(diào)與配合下，*公司安全測(cè)試小組于XXXX年XX月XX日至XX日對(duì)XX應(yīng)用進(jìn)行了源代碼審計(jì)工作。在此期間內(nèi)，*公司安全測(cè)試小組利用各種主流的代碼審計(jì)工具以及手工檢查等方式對(duì)網(wǎng)站主要功能模塊的源代碼進(jìn)行了安全性及規(guī)范性檢查，發(fā)現(xiàn)了源代碼中存在的一些脆弱性、合規(guī)性問題及缺陷。本文檔即為*公司安全測(cè)試小組在進(jìn)行代碼審計(jì)工作完成后所提交的報(bào)告資料，用于對(duì)XXWEB應(yīng)用的安全狀況從代碼層面作出分析和建議。*公司代碼審計(jì)服務(wù)是經(jīng)過授權(quán)的，也是有時(shí)間限制的。二.審核對(duì)象應(yīng)用列表本次代碼審核的對(duì)象包括:基本信息應(yīng)用系統(tǒng)名稱XXWEB應(yīng)用語言類型ASPASP

8、.NET（VB）ASP.NET（C#）PHPJSP（JAVA）其它參與人員參與人員工作職責(zé)聯(lián)系方式XXXXXXXXX審計(jì)工具工具一工具名稱XXXX工具用途相關(guān)信息工具二工具名稱XXXX工具用途相關(guān)信息三.現(xiàn)狀分析XX門戶網(wǎng)站是由XX公司開發(fā)的基于XXX語言的網(wǎng)站，主要功能有產(chǎn)品及解決方案、合作伙伴、客戶支持、工作機(jī)會(huì)、eDM以及貫穿多個(gè)模塊的討論組。根據(jù)模塊的不同進(jìn)行訪問權(quán)限的控制。整個(gè)網(wǎng)站采用唯一的訪問入口default.aspx，所有模塊均由系統(tǒng)根據(jù)權(quán)限和參數(shù)來進(jìn)行控制。系統(tǒng)用戶根據(jù)權(quán)限的不同分為超級(jí)管理員、模塊管理員和用戶三個(gè)級(jí)別。前臺(tái)用戶訪問使用HTTP協(xié)議，后臺(tái)管理員維護(hù)使用HTTP

9、S協(xié)議，以保證通訊安全。除了產(chǎn)品及解決方案、合作伙伴、討論組、工作機(jī)會(huì)、客戶支持五個(gè)模塊進(jìn)行了定制開發(fā)以外，整個(gè)網(wǎng)站的基礎(chǔ)架構(gòu)（如用戶管理、權(quán)限管理、網(wǎng)站安全、文件上傳下載等）均采用成熟的平臺(tái)來構(gòu)建。因此，最可能出現(xiàn)各種問題的地方也集中在各個(gè)定制模塊當(dāng)中，源代碼審計(jì)的重點(diǎn)也集中在這幾部分的代碼上。四.審計(jì)結(jié)果4.1XX模塊4.1.1XXXXXX編號(hào)NS-SCA-XXXX-XX描述潛在威脅所在頁面問題行數(shù)修改建議4.1.2XXXXXX編號(hào)NS-SCA-XXXX-XX描述潛在威脅所在頁面問題行數(shù)修改建議五.審計(jì)結(jié)論與建議審計(jì)結(jié)果簡評(píng)通過對(duì)XXWEB應(yīng)用進(jìn)行為期XX天的源代碼審計(jì)，我們得出如下結(jié)論：

10、底層平臺(tái)采用了較為成熟的用戶管理、權(quán)限控制、模塊動(dòng)態(tài)加載及訪問控制技術(shù)，代碼的編寫基本符合編碼規(guī)范的要求。但在部分功能模塊上還存在一些問題，需要加于改進(jìn)，主要體現(xiàn)在以下幾個(gè)方面：XXXXXXXXXXXX注意事項(xiàng)脆弱性和缺陷編程意見經(jīng)過本次代碼審計(jì)，也發(fā)現(xiàn)了被檢測(cè)WEB應(yīng)用存在的一些問題或缺陷，在本節(jié)我們會(huì)根據(jù)我們的經(jīng)驗(yàn)來提出一些改進(jìn)意見或建議，供WEB應(yīng)用開發(fā)、管理人員參考。這部分內(nèi)容對(duì)于后期的維護(hù)和擴(kuò)展也有一定的指導(dǎo)意義。永遠(yuǎn)不要相信用戶的輸入用戶的輸入主要包括以下幾類：WEB訪問請(qǐng)求中URL的參數(shù)部分；HTML表單通過POST或GET請(qǐng)求提交的數(shù)據(jù)；在客戶端臨時(shí)保存的數(shù)據(jù)（也就是Cooki

11、e）；數(shù)據(jù)庫查詢。安全功能方面不要過于信任應(yīng)用程序訪問控制規(guī)則；身份鑒別系統(tǒng)和會(huì)話管理可能會(huì)被繞過或是被篡改；存儲(chǔ)的敏感信息可能被抽取。其它：服務(wù)器：安裝最新的補(bǔ)丁，降低WEB應(yīng)用運(yùn)行用戶的權(quán)限，適當(dāng)設(shè)置應(yīng)用所在目錄的讀寫權(quán)限。WEB服務(wù)器軟件：不要開啟目錄瀏覽、寫入、腳本資源訪問等功能。錯(cuò)誤處理：必須關(guān)閉詳細(xì)錯(cuò)誤顯示，比較好的處理方式是開啟錯(cuò)誤重定向功能在出錯(cuò)后重定向到指定頁面（如網(wǎng)站首頁），并且這個(gè)頁面不能把異常信息發(fā)送給客戶端，如：代碼質(zhì)量：主要是指可用性、可維護(hù)性、運(yùn)行效率、重復(fù)代碼量等等指標(biāo)，高質(zhì)量的代碼不僅易于維護(hù)，而且運(yùn)行效率高，因?yàn)楫?dāng)受到拒絕服務(wù)攻擊時(shí)可以有效降低對(duì)系統(tǒng)的影響。好的代碼依賴于合理的系統(tǒng)架構(gòu)、優(yōu)秀的程序編寫人員和嚴(yán)謹(jǐn)?shù)墓ぷ髯黠L(fēng)。定期進(jìn)行代碼抽樣審計(jì)雖然我們?cè)诒敬未a審計(jì)中發(fā)現(xiàn)了這些問題，并且相信這些安全隱患能夠在短時(shí)間內(nèi)解決。我們?nèi)匀?/p>