@大麻哈
2年前 提问
1个回答
代码安全审计类型有哪些
在下炳尚
2年前
代码安全审计是查找代码中安全漏洞的方法。通常可以分为:自动化审计和人工审计。
自动化审计
一般认为一个漏洞的触发过程是从输入经过过滤到危险函数的过程(Source To Sink),而审计就是寻找这个链条的过程。常见的自动化审计方案有危险函数匹配、控制流分析等。
人工审计
人工审计优势在于查找业务逻辑相关漏洞。但对应成本也远高于自动化工作。
人工审计的流程:
获取代码,确定版本,尝试初步分析
基于审计工具进行初步分析
了解程序运行流程
账户体系
根据漏洞类型查找Sink
找WAF过滤方式,判断是否可以绕过