@大麻哈
2年前 提问
1个回答

代码安全审计类型有哪些

在下炳尚
2年前

代码安全审计是查找代码中安全漏洞的方法。通常可以分为:自动化审计和人工审计。

  • 自动化审计

    一般认为一个漏洞的触发过程是从输入经过过滤到危险函数的过程(Source To Sink),而审计就是寻找这个链条的过程。常见的自动化审计方案有危险函数匹配、控制流分析等。

  • 人工审计

    人工审计优势在于查找业务逻辑相关漏洞。但对应成本也远高于自动化工作。

    人工审计的流程:

    1. 获取代码,确定版本,尝试初步分析

    2. 基于审计工具进行初步分析

    3. 了解程序运行流程

    4. 账户体系

    5. 根据漏洞类型查找Sink

    6. 找WAF过滤方式,判断是否可以绕过