免費(fèi)源代碼檢測(cè)方案-源代碼檢測(cè)方案-多面魔方有限公司(查看)

銀行應(yīng)用代碼審計(jì)方案

銀行是網(wǎng)絡(luò)攻擊的主要目標(biāo)，企業(yè)也將信息作為其的關(guān)注點(diǎn)之一。近年來(lái)，銀行系統(tǒng)的事件不絕于耳。導(dǎo)致這些攻擊事件的主要根源是由于應(yīng)用程序自身的漏洞，因此保障應(yīng)用成了當(dāng)前銀行業(yè)信息的工作重點(diǎn)。

銀行面臨的應(yīng)用問(wèn)題主要有以下幾個(gè)方面：

1、 應(yīng)用數(shù)量龐大，實(shí)現(xiàn)全部測(cè)試并實(shí)時(shí)監(jiān)控的難度很大。

要想實(shí)現(xiàn)對(duì)所有的應(yīng)用進(jìn)行詳盡的測(cè)試，開(kāi)源源代碼檢測(cè)方案，并在其版本更新時(shí)立即進(jìn)行回歸測(cè)試，無(wú)論是人工測(cè)試還是利用傳統(tǒng)滲透測(cè)試工具及靜態(tài)代碼掃描工具都無(wú)法很好的達(dá)到目的。人工的方式太耗費(fèi)人力。滲透測(cè)試工具依賴于人，且對(duì)于很多測(cè)試路徑無(wú)法達(dá)到。靜態(tài)工具誤報(bào)率高，掃描的效率低下。

2、 為了快速應(yīng)對(duì)需求變更，金融行業(yè)軟件大量使用敏捷開(kāi)發(fā)的模型，這使得代碼審核的工作量加大。

敏捷開(kāi)發(fā)的模型的特點(diǎn)是快速迭代，頻繁的版本發(fā)布加大的代碼審核的工作量，人工審核的方式已無(wú)法全部覆蓋到。

3、 有大量項(xiàng)目是外包開(kāi)發(fā)，其質(zhì)量無(wú)法把控。

外包團(tuán)隊(duì)往往只注重對(duì)功能需求的完成，而不太顧及代碼質(zhì)量與問(wèn)題。 企業(yè)沒(méi)有很好的方法在過(guò)程中加強(qiáng)質(zhì)理的管理。

對(duì)外包團(tuán)開(kāi)發(fā)的代碼進(jìn)行審計(jì)是銀行保障應(yīng)用的關(guān)鍵活動(dòng)。SECZONE經(jīng)過(guò)多年的服務(wù)的積累，對(duì)于銀行外包代碼審計(jì)形成了包括培訓(xùn)、S-SDLC流程、IAST技術(shù)組成的成熟解決方案。

1、應(yīng)用培訓(xùn)

2、S-SDLC軟件開(kāi)發(fā)生命周期流程

3、利用IAST工具進(jìn)行源碼審核

4、兼容敏捷開(kāi)發(fā)模式

5、實(shí)現(xiàn)對(duì)外包團(tuán)隊(duì)開(kāi)發(fā)質(zhì)量的控制

怎么做代碼審計(jì)

? ? ? 首先客戶提出代碼審計(jì)要求，內(nèi)容包括測(cè)試范圍和時(shí)間，在提交《代碼審計(jì)申請(qǐng)》與源代碼時(shí)，附帶《免責(zé)聲明》一起給客戶，客戶收到申請(qǐng)與免責(zé)聲明之后，確認(rèn)審計(jì)范圍與時(shí)間無(wú)誤之后?？蛻籼峤唤o項(xiàng)目接口人，接口人進(jìn)行工作量臺(tái)賬記錄，然后由項(xiàng)目負(fù)責(zé)人進(jìn)行工作安排，開(kāi)始編寫代碼審計(jì)方案，經(jīng)過(guò)客戶方面認(rèn)可代碼審計(jì)方案后，開(kāi)始實(shí)施代碼審計(jì)工作，在審計(jì)過(guò)程中通過(guò)代碼審計(jì)設(shè)備進(jìn)行詳細(xì)審計(jì)記錄，通過(guò)信息收集、漏洞分析和成果整理編寫出《代碼審計(jì)報(bào)告》，并提交給客戶，源代碼檢測(cè)方案，并協(xié)助完成漏洞修復(fù)。

? ? ? 在漏洞修復(fù)工作之后，項(xiàng)目組進(jìn)行代碼審計(jì)復(fù)測(cè)，并輸出《代碼審計(jì)復(fù)測(cè)報(bào)告》，在客戶方確認(rèn)之后，單個(gè)系統(tǒng)代碼審計(jì)工作完成。

代碼審計(jì)有哪些高風(fēng)險(xiǎn)漏洞？

代碼審計(jì)過(guò)程中一些常見(jiàn)的高風(fēng)險(xiǎn)漏洞：

1、非邊界檢查函數(shù)（例如，strcpy，sprintf，vsprintf和sscanf）可能導(dǎo)致緩沖區(qū)溢出漏洞

2、可能干擾后續(xù)邊界檢查的緩沖區(qū)的指針操作，例如：if（（bytesread = net_read（buf，len））> 0）buf + = bytesread;

3、調(diào)用像execve（），執(zhí)行管道，免費(fèi)源代碼檢測(cè)方案，system（）和類似的東西，尤其是在使用非靜態(tài)參數(shù)調(diào)用時(shí)

4、輸入驗(yàn)證，主流源代碼檢測(cè)方案，例如（在SQL中）：statement：=“SELECT * FROM users WHERE name ='”+ userName +“';”是一個(gè)SQL注入漏洞的示例

5、文件包含功能，例如（在PHP中）：include（$ page。'。php'）;是遠(yuǎn)程文件包含漏洞的示例

6、對(duì)于可能與惡意代碼鏈接的庫(kù)，返回對(duì)內(nèi)部可變數(shù)據(jù)結(jié)構(gòu)（記錄，數(shù)組）的引用。惡意代碼可能會(huì)嘗試修改結(jié)構(gòu)或保留引用以觀察將來(lái)的更改。