@scream
2年前 提问
1个回答
什么是源代码审核
趣能一姐
2年前
源代码审查是检查Web APP源代码,以查找在初始开发阶段忽略的错误。Pentester启动一个代码分析器,逐行扫描Web APP的代码。一旦在测试环境中部署的分析器发现漏洞,测试人员就会手动检查它们以消除误报。
测试者在源代码审查上花费的时间因编程语言和APP的大小而异。例如,1000行代码可能需要0.5到2个小时来分析。
源代码审查的优势在于能够识别以下漏洞:
加密错误。这些包括弱加密算法,以及具有弱实现的强加密算法(例如,不安全的密钥存储)。
所有SQL注入案例,XSS(跨站点脚本)漏洞。
缓冲区溢出(将更多数据放入缓冲区而不是它可以处理)。
比赛条件(同时执行两项或多项操作)。