源代码审计报告 目录 一. 概述 ...................................................................................................................................................... 1 1.1 源代码审计概述 ............................................................................................................................... 1 1.2 项目概述 ........................................................................................................................................... 2 二. 审核对象 ............................................................................................................................................... 3 2.1 应用列表 ........................................................................................................................................... 3 2.2 参与人员 ........................................................................................................................................... 3 2.3 代码审计所使用的相关资源 ......................................................................... 错误!未定义书签。 2.3.1 Microsoft CAT.NAT ................................................................................... 错误!未定义书签。 2.3.2 Microsoft Visual Studio 2008 Code Analysis ............................................. 错误!未定义书签。 2.3.3 SSW Code Auditor ..................................................................................... 错误!未定义书签。 三. 现状分析 ............................................................................................................................................... 4 四. 审计结果 ............................................................................................................................................... 4 4.1 门户(PORTAL) .............................................................................................. 错误!未定义书签。 4.1.1 用户管理模块 ........................................................................................................................... 4 4.1.2 站内搜索模块 ......................................................................................... 错误!未定义书签。 4.1.3 文件上传模块 ......................................................................................... 错误!未定义书签。 4.1.4 日志管理模块 ......................................................................................... 错误!未定义书签。 4.1.5 错误处理模块 ......................................................................................... 错误!未定义书签。 4.2 产品及解决方案 ............................................................................................. 错误!未定义书签。 4.3 合作伙伴 ......................................................................................................... 错误!未定义书签。 4.4 客户支持 ......................................................................................................... 错误!未定义书签。 4.5 工作机会 ......................................................................................................... 错误!未定义书签。 4.6 EDM .................................................................................................................. 错误!未定义书签。 4.7 讨论组 ............................................................................................................. 错误!未定义书签。 五. 审计结论与建议 ................................................................................................................................... 5 5.1 审计结果简评 ................................................................................................................................... 5 5.2 脆弱性和缺陷编程意见 ................................................................................................................... 5 5.3 定期进行代码抽样审计 ................................................................................................................... 6 5.4 系统上线前进行全面的测试 ........................................................................................................... 6 5.5 制定完善的开发文档 ....................................................................................................................... 7 一. 概述 1.1 源代码审计概述 源代码审计工作通过分析当前应用系统的源代码,熟悉业务系统,从应用系统结构方面检查其各模块和功能之间的关联、权限验证等内容;从安全性方面检查其脆弱性和缺陷。在明确当前安全现状和需求的情况下,对下一步的编码安全规范性建设有重大的意义。 源代码审计工作利用一定的编程规范和标准,针对应用程序源代码,从结构、脆弱性以及缺陷等方面进行审查,以发现当前应用程序中存在的安全缺陷以及代码的规范性缺陷。 审核目的 本次源代码审计工作是通过对当前系统各模块的源代码进行审查,以检查代码在程序编写上可能引起的安全性和脆弱性问题。 审核依据 本次源代码审计工作主要突出代码编写的缺陷和脆弱性,以OWASP TOP 10 2010为检查依据,针对OWASP统计的问题作重点检查。 ? 点击打开文档OWASP TOP 10 2010 审计范围 根据XX给出的代码,对其WEB应用作脆弱性和缺陷、以及结构上的检查。通过了解业务系统,确定重点检查模块以及重要文件,提供可行性的解决方法。 审计方法 通过白盒(代码审计)的方式检查应用系统的安全性,白盒测试所采用的方法是工具审查+人工确认+人工抽取代码检查,依照OWASP 2010 TOP 10所披露的脆弱性,根据业务流来检查目标系统的脆弱性、缺陷以及结构上的问题。 本次源代码审计分为三个阶段: 信息收集 此阶段中,源代码审计人员熟悉待审计WEB应用的结构设计、功能模块,并与客户相关人员商议、协调审计重点及源代码提供等方面的信息。