白盒代码审计服务

1、代码审计

代码审计服务是针对客户的基于ASP、ASP.NET、PHP、JSP等的WEB应用系统做代码的安全检查，找出其中存在的安全漏洞并给出相应的解决方法，提高WEB应用程序的安全性。

WEB应用的开发人员在做程序开发的时候更偏重于其应用性，而忽略了安全性，这样就会造成WEB应用程序中存在过多的安全漏洞，WEB代码审计主要是为了审核出以下的安全漏洞：

（1）SQL注入漏洞；

（2）XSS跨站漏洞；

（3）CSRF跨站漏洞；

（4）上传漏洞；

（5）其他漏洞：如：认证绕过漏洞、目录浏览漏洞等

代码审计服务可以检测并报告用户的应用程序代码当前存在的弱点和安全隐患，安洵信息将通过专业的工具软件和经验丰富的人工分析等手段对其进行深入分析，并提供相应的报告。

代码审计服务可以帮助客户杜绝因SQL注入、跨站脚本等问题引起的入侵问题。同时，在发现这些问题的时候，可以协助编程人员在编程过程中的安全意识，避免相类似的问题重复出现。

2、代码加固

代码加固是针对代码审计过程中发现的相关安全漏洞，提供一个具体可行的修改方案，使之在保证应用系统业务功能的同时修复web安全漏洞，是最直接且有效的提高程序安全性的手段。针对主要WEB安全漏洞修复方法如下：

（1）SQL注入防护：SQL注入漏洞的产生是由于程序没有对进入SQL语句中的变量做严格的过滤，导致攻击者通过提交精心构造的变量使之转译到系统实际SQL语句中并执行它。修复SQL注入漏洞只需对变量做有效性检测，过滤特殊字符。确保进入SQL语句的变量的安全性。

（2）XSS跨站防护：XSS漏洞产生是在数据输出到网站页面时没有很好的过滤产生的，恶意数据包含客户端直接提交的和从数据库中读取的。对于XSS漏洞的修复可以编写特定的防护函数，对于输出到客户端的变量过滤。

（3）CSRF跨站防护：CSRF攻击是源于WEB的隐式身份验证机制，WEB的身份验证机制虽然可以保证一个请求是来自于某个用户的浏览器，但却无法保证该请求是用户批准发送的。CSRF的防御可以在客户端页面增加伪随机数，然后在服务器端进行Hash值验证，保证数据的提交是通过用户批准。

（4）文件上传防护：WEB安全漏洞具有多样性，不仅包含了以上的主要的漏洞类型，还包含了其他漏洞。对于其他web安全漏洞的修复需根据漏洞的具体情况做来加固。

 平行搜索：对于在代码审计过程中发现的某一漏洞，不仅进行简单的代码修改加固。还会根据漏洞类型搜索整个应用程序中是否存在其他类似的漏洞，最大限度的减少同一漏洞的产生。在对整个应用程序代码审计并加固后，对于发现的漏洞类型总结，并制定相应的整体防护方案。