@贝壳儿
1年前 提问
1个回答

渗透测试代码审计做什么

趣能一姐
1年前

代码审计(Code audit)是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目中源代码的全面分析,旨在发现错误,安全漏洞或违反编程约定。 它是防御性编程范例的一个组成部分,它试图在软件发布之前减少错误。 C和C ++源代码是最常见的审计代码,因为许多高级语言(如Python)具有较少的潜在易受攻击的功能(例如,不检查边界的函数)。

解决web应用出现逻辑漏洞的方法有以下这些:

  • 确保将应用程序各方面的设计信息清楚、详细地记录在文档中,以方便其他人了解设计者做出的每个假设。同时将所有这些假设明确记录在设计文档中。

  • 要求所有源代码提供清楚的注释,并经过代码审计;

  • 在以安全为中心的应用程序设计审核中,考虑在设计过程中做出的每一个假设,并想象假设被违背的每种情况。尤其应注意任何应用程序用户可完全控制的假定条件。

  • 在以安全为中心的代码审查中,从各个角度考虑以下两个因素,一是应用程序如何处理用户的反常行为和输入,二是不同代码组件与应用程序功能之间的相互依赖和互操作可能造成的不利影响。