1、什么是代码审计？

代码审计主要是帮助企业从安全角度对应用系统的所有逻辑路径进行测试，通过分析源代码，充分挖掘代码中存在的安全缺陷以及规范性缺陷。找到普通安全测试所无法发现的如二次注入、反序列化、xml实体注入等安全漏洞。

2、为什么要做代码审计？

· 新上线系统

新上线系统对互联网环境的适应性较差，代码审计可以充分挖掘代码中存在的安全缺陷。避免系统刚上线就遇到重大攻击。

· 已运行系统

先于黑客发现系统的安全隐患，提前部署好安全防御措施，保证系统的每个环节在未知环境下都能经得起黑客挑战。

· 明确安全隐患点

可从整套源代码切入最终明确至某个威胁点并加以验证。

· 提高安全意识

有效防止管理人员遗漏缺陷，从而降低整体风险。

· 提升开发人员安全技能

通过审计报告，以及安全人员与开发人员的沟通，开发人员更好的完善代码安全开发规范。

3、中研院主要审计内容

· 系统所用开源框架

包含java反序列化漏洞，导致远程代码执行。Spring、Struts2的相关安全。

· 应用代码关注要素

日志伪造漏洞，密码明文存储，资源管理，调试程序残留，二次注入，反序列化。

· API滥用

不安全的数据库调用、随机数创建、内存管理调用、字符串操作，危险的系统方法调用。

· 源代码设计

不安全的域、方法、类修饰符未使用的外部引用、代码。

· 错误处理不当

程序异常处理、返回值用法、空指针、日志记录。

· 直接对象引用

直接引用数据库中的数据、文件系统、内存空间。

· 资源滥用

不安全的文件创建／修改／删除，竞争冲突，内存泄露。

· 业务逻辑错误

欺骗密码找回功能，规避交易限制,越权缺陷Cookies和session的问题。

· 规范性权限配置

数据库配置规范，Web服务的权限配置SQL语句编写规范。

4、为什么选择中研院？

· 服务资质

中研院可出具专业权威的CMA软件测试报告。

· 服务方式

中研院可以为您便捷的测试方式，包括上门测试、远程测试和视频测试，以最快的效率完成测试，解决您的燃眉之急。

· 高效测试

中研院已成功研发了高效的软件测试工具，可自动生成过程记录、执行记录、测试报告、测试归档资料。正常5个工作日内出具软件测试报告，有需要时，可加急处理。