代码审计
代码审计服务提供了对代码质量的全面评估。我们会审计您的程序是否遵循安全编码规范,并筛选出安全风险。
代码审计可以弥补黑盒渗透测试中未能完全覆盖的代码逻辑和安全隐患,是准确性最高的查找程序弱点的方法。
检测对象包括但不限于以下常见的编程语言:JAVA、PHP、C、C++、C#、ASP、ASP.NET。
我们的特点
悬镜安全团队拥有多年的网络攻防经验,因此除了常规检测方式外,我们还会从黑客的角度检视应用系统,从而发现更多通常会被忽视的漏洞。通常,我们的安全团队会从较浅层次的威胁开始检测,如SQL注入、本地/远程文件包含、跨站点脚本、目录遍历、LDAP/XPath注入、未验证的文件上传、缺少访问控制、敏感信息泄露等,然后将审计目标转换为更复杂的安全风险,如PHP对象注入、弱随机数声生成、不安全的加密协议、加密侧通道、资源耗尽、不安全的密码存储等。直到我们确信您的程序是坚不可摧的。
全面的检测点,只为了不遗漏每一个弱点
服务价值
代码审计对代码生产方至关重要,每一个代码生产方都应该对软件程序的代码进行全面的审查,以确保其具有高质量、高安全性和可管理性。代码审计并不只是单纯的一次性服务,其好处将在软件的整个生命周期中得以体现。
事实上,根据研究,在代码审计中花费的每1个小时,可以在未来节省33个小时的维护时间。而将安全事件扼杀在摇篮中的价值,更是不可计量。
同时,我们会努力做到授人以渔,将我们的安全经验传达给客户的开发人员,使开发人员能够清晰了解漏洞的行程和危害,提高开发中的安全意识,从而降低整体的安全风险。