源代碼審計(jì)報(bào)告

目錄TOC\h\z\t"附錄1（綠盟科技）,1,附錄2（綠盟科技）,2,附錄3（綠盟科技）,3,附錄4（綠盟科技）,4,標(biāo)題1（綠盟科技）,1,標(biāo)題2（綠盟科技）,2,標(biāo)題3（綠盟科技）,3"一.概述 1源代碼審計(jì)概述 1項(xiàng)目概述 2二.審核對(duì)象 3應(yīng)用列表 3參加人員 3代碼審計(jì)所使用的有關(guān)資源 3Microsoft 3MicrosoftVisualStudioCodeAnalysis 4SSWCodeAuditor 4三.現(xiàn)狀分析 4四.審計(jì)成果 4門戶（Portal） 4顧客管理模塊 5站內(nèi)搜索模塊 5文獻(xiàn)上傳模塊 6日志管理模塊 6錯(cuò)誤解決模塊 7產(chǎn)品及解決方案 8合作伙伴 12客戶支持 18工作機(jī)會(huì) 21EDM 24討論組 25五.審計(jì)結(jié)論與建議 28審計(jì)成果簡(jiǎn)評(píng) 28脆弱性和缺點(diǎn)編程意見 29定時(shí)進(jìn)行代碼抽樣審計(jì) 30系統(tǒng)上線邁進(jìn)行全方面的測(cè)試 30制訂完善的開發(fā)文檔 30概述源代碼審計(jì)概述源代碼審計(jì)工作通過(guò)分析現(xiàn)在應(yīng)用系統(tǒng)的源代碼，熟悉業(yè)務(wù)系統(tǒng)，從應(yīng)用系統(tǒng)構(gòu)造方面檢查其各模塊和功效之間的關(guān)聯(lián)、權(quán)限驗(yàn)證等內(nèi)容；從安全性方面檢查其脆弱性和缺點(diǎn)。在明確現(xiàn)在安全現(xiàn)狀和需求的狀況下，對(duì)下一步的編碼安全規(guī)范性建設(shè)有重大的意義。源代碼審計(jì)工作運(yùn)用一定的編程規(guī)范和原則，針對(duì)應(yīng)用程序源代碼，從構(gòu)造、脆弱性以及缺點(diǎn)等方面進(jìn)行審查，以發(fā)現(xiàn)現(xiàn)在應(yīng)用程序中存在的安全缺點(diǎn)以及代碼的規(guī)范性缺點(diǎn)。審核目的本次源代碼審計(jì)工作是通過(guò)對(duì)現(xiàn)在系統(tǒng)各模塊的源代碼進(jìn)行審查，以檢查代碼在程序編寫上可能引發(fā)的安全性和脆弱性問題。審核根據(jù)本次源代碼審計(jì)工作重要突出代碼編寫的缺點(diǎn)和脆弱性，以O(shè)WASPTOP10為檢查根據(jù)，針對(duì)OWASP統(tǒng)計(jì)的問題作重點(diǎn)檢查。點(diǎn)擊打開文檔OWASPTOP10審計(jì)范疇根據(jù)XX給出的代碼，對(duì)其WEB應(yīng)用作脆弱性和缺點(diǎn)、以及構(gòu)造上的檢查。通過(guò)理解業(yè)務(wù)系統(tǒng)，擬定重點(diǎn)檢查模塊以及重要文獻(xiàn)，提供可行性的解決辦法。審計(jì)辦法通過(guò)白盒（代碼審計(jì)）的方式檢查應(yīng)用系統(tǒng)的安全性，白盒測(cè)試所采用的辦法是工具審查+人工確認(rèn)+人工抽取代碼檢查，根據(jù)OWASPTOP10所披露的脆弱性，根據(jù)業(yè)務(wù)流來(lái)檢查目的系統(tǒng)的脆弱性、缺點(diǎn)以及構(gòu)造上的問題。本次源代碼審計(jì)分為三個(gè)階段：信息收集此階段中，源代碼審計(jì)人員熟悉待審計(jì)WEB應(yīng)用的構(gòu)造設(shè)計(jì)、功效模塊，并與客戶有關(guān)人員商議、協(xié)調(diào)審計(jì)重點(diǎn)及源代碼提供等方面的信息。代碼安全性分析此階段中，源代碼審計(jì)人員會(huì)使用工具對(duì)源代碼的脆弱性和安全缺點(diǎn)進(jìn)行初步的分析，然后根據(jù)客戶關(guān)注的重點(diǎn)對(duì)部分代碼進(jìn)行手工審計(jì)，重要包含下列內(nèi)容：輸入/輸出驗(yàn)證。SQL注入、跨站腳本、回絕服務(wù)攻擊，對(duì)上傳文獻(xiàn)的控制等由于未能較好的控制顧客提交的內(nèi)容造成的問題；安全功效。請(qǐng)求的參數(shù)沒有限制范疇造成信息泄露，Cookie超時(shí)機(jī)制和有效域控制，權(quán)限控制、日志審計(jì)等方面的內(nèi)容；程序異常解決。無(wú)視解決的異常、異常解決不恰當(dāng)造成的信息泄露或是不便于進(jìn)行錯(cuò)誤定位等問題；代碼規(guī)范性檢查此階段中，源代碼審計(jì)人員重要是運(yùn)用某些代碼規(guī)范檢查工具對(duì)網(wǎng)站各功效模塊的代碼進(jìn)行合規(guī)性檢查，重要目的在于提高代碼質(zhì)量，使其更符合編碼規(guī)范的規(guī)定，重要涉及下列內(nèi)容：代碼質(zhì)量。例如對(duì)象錯(cuò)誤或不適合調(diào)用造成程序未能按預(yù)期的方式執(zhí)行，功效缺失；類組員與其封裝類同名，變量賦值后不使用等；封裝。多出的注釋信息、調(diào)試信息問題造成應(yīng)用系統(tǒng)信息暴露，錯(cuò)誤的變量聲明等。API濫用。例如調(diào)用非本單位直接控制的資源、對(duì)象過(guò)于頻繁調(diào)用、直接調(diào)用空對(duì)象造成系統(tǒng)資源消耗過(guò)大或是程序執(zhí)行效率低下等問題。項(xiàng)目概述在XX及WEB應(yīng)用開發(fā)單位XX公司有關(guān)人員的協(xié)調(diào)與配合下，**公司安全測(cè)試小組于XXXX年XX月XX日至XX日對(duì)XX應(yīng)用進(jìn)行了源代碼審計(jì)工作。在此期間內(nèi)，**公司安全測(cè)試小組運(yùn)用多個(gè)主流的代碼審計(jì)工具以及手工檢查等方式對(duì)網(wǎng)站重要功效模塊的源代碼進(jìn)行了安全性及規(guī)范性檢查，發(fā)現(xiàn)了源代碼中存在的某些脆弱性、合規(guī)性問題及缺點(diǎn)。本文檔即為**公司安全測(cè)試小組在進(jìn)行代碼審計(jì)工作完畢后所提交的報(bào)告資料，用于對(duì)XXWEB應(yīng)用的安全狀況從代碼層面作出分析和建議。**公司代碼審計(jì)服務(wù)是通過(guò)授權(quán)的，也是有時(shí)間限制的。審核對(duì)象應(yīng)用列表本次代碼審核的對(duì)象涉及：基本信息應(yīng)用系統(tǒng)名稱XXWEB應(yīng)用語(yǔ)言類型ASP（VB）（C#）PHPJSP（JAVA）其它________________參加人員參加人員工作職責(zé)聯(lián)系方式XXXXXXXXX審計(jì)工具工具一工具名稱XXXX工具用途有關(guān)信息工具二工具名稱XXXX工具用途有關(guān)信息……現(xiàn)狀分析XX門戶網(wǎng)站是由XX公司開發(fā)的基于XXX語(yǔ)言的網(wǎng)站，重要功效有產(chǎn)品及解決方案、合作伙伴、客戶支持、工作機(jī)會(huì)、eDM以及貫穿多個(gè)模塊的討論組。根據(jù)模塊的不同進(jìn)行訪問權(quán)限的控制。整個(gè)網(wǎng)站采用唯一的訪問入口，全部模塊均由系統(tǒng)根據(jù)權(quán)限和參數(shù)來(lái)進(jìn)行控制。系統(tǒng)顧客根據(jù)權(quán)限的不同分為超級(jí)管理員、模塊管理員和顧客三個(gè)級(jí)別。前臺(tái)顧客訪問使用HTTP合同，后臺(tái)管理員維護(hù)使用HTTPS合同，以確保通訊安全。除了產(chǎn)品及解決方案、合作伙伴、討論組、工作機(jī)會(huì)、客戶支持五個(gè)模塊進(jìn)行了定制開發(fā)以外，整個(gè)網(wǎng)站的基礎(chǔ)架構(gòu)（如顧客管理、權(quán)限管理、網(wǎng)站安全、文獻(xiàn)上傳下載等）均采用成熟的平臺(tái)來(lái)構(gòu)建。因此，最可能出現(xiàn)多個(gè)問題的地方也集中在各個(gè)定制模塊當(dāng)中，源代碼審計(jì)的重點(diǎn)也集中在這幾部分的代碼上。審計(jì)成果XX模塊XXXXXX編號(hào)NS-SCA-XXXX-XX描述潛在威脅所在頁(yè)面問題行數(shù)修改建議XXXXXX編號(hào)NS-SCA-XXXX-XX描述潛在威脅所在頁(yè)面問題行數(shù)修改建議審計(jì)結(jié)論與建議審計(jì)成果簡(jiǎn)評(píng)通過(guò)對(duì)XXWEB應(yīng)用進(jìn)行為期XX天的源代碼審計(jì)，我們得出以下結(jié)論：底層平臺(tái)采用了較為成熟的顧客管理、權(quán)限控制、模塊動(dòng)態(tài)加載及訪問控制技術(shù)，代碼的編寫基本符合編碼規(guī)范的規(guī)定。但在部分功效模塊上還存在某些問題，需要加于改善，重要體現(xiàn)在下列幾個(gè)方面：XXXXXX……XXXXXX……注意事項(xiàng)脆弱性和缺點(diǎn)編程意見通過(guò)本次代碼審計(jì)，也發(fā)現(xiàn)了被檢測(cè)WEB應(yīng)用存在的某些問題或缺點(diǎn)，在本節(jié)我們會(huì)根據(jù)我們的經(jīng)驗(yàn)來(lái)提出某些改善意見或建議，供WEB應(yīng)用開發(fā)、管理人員參考。這部分內(nèi)容對(duì)于后期的維護(hù)和擴(kuò)展也有一定的指導(dǎo)意義。永遠(yuǎn)不要相信顧客的輸入顧客的輸入重要涉及下列幾類：WEB訪問請(qǐng)求中URL的參數(shù)部分；HTML表單通過(guò)POST或GET請(qǐng)求提交的數(shù)據(jù)；在客戶端臨時(shí)保存的數(shù)據(jù)（也就是Cookie）；數(shù)據(jù)庫(kù)查詢。安全功效方面不要過(guò)于信任應(yīng)用程序訪問控制規(guī)則；身份鑒別系統(tǒng)和會(huì)話管理可能會(huì)被繞過(guò)或是被篡改；存儲(chǔ)的敏感信息可能被抽取。其它：服務(wù)器：安裝最新的補(bǔ)丁，減少WEB應(yīng)用運(yùn)行顧客的權(quán)限，適宜設(shè)立應(yīng)用所在目錄的讀寫權(quán)限。WEB服務(wù)器軟件：不要啟動(dòng)目錄瀏覽、寫入、腳本資源訪問等功效。錯(cuò)誤解決：必須關(guān)閉具體錯(cuò)誤顯示，比較好的解決方式是啟動(dòng)錯(cuò)誤重定向功效在出錯(cuò)后重定向到指定頁(yè)面（如網(wǎng)站首頁(yè)），并且這個(gè)頁(yè)面不能把異常信息發(fā)送給客戶端，如：<customErrorsmode="On"defaultRedirect=""/>代碼質(zhì)量：重要是指可用性、可維護(hù)性、運(yùn)行效率、重復(fù)代碼量等等指標(biāo)，高質(zhì)量的代碼不僅易于維護(hù)，并且運(yùn)行效率高，由于當(dāng)受到回絕服務(wù)攻擊時(shí)能夠有效減少對(duì)系統(tǒng)的影響。好的代碼依賴于合理的系統(tǒng)架構(gòu)、優(yōu)秀的程序編寫人員和嚴(yán)謹(jǐn)?shù)墓ぷ髯黠L(fēng)。定時(shí)進(jìn)行代碼抽樣審計(jì)即使我們?cè)诒敬未a審計(jì)中發(fā)現(xiàn)了這些問題，并且相信這些安全隱患能夠在短時(shí)間內(nèi)解決。我們?nèi)匀唤ㄗh您定時(shí)進(jìn)行類似的安全抽樣