PART
01
服务介绍
代码审计的主要目的是主数据系统程序的安全性,降低攻击者入侵的风险,找出目标系统是否存在可以被攻击者真实利用的漏洞以及由此引起的风险大小,从而为制定相应的应对措施与解决方案提供实际的依据。通过分析存在的弱点和风险,为安全整改建议提供依据
依据规范:《信息安全技术—代码安全审计规范》(GB/T 39412-2020)。
检测内容包括: | |
系统所用开源框架 | 包含java反序列化漏洞,导致远程代码执行。Spring、Struts2的相关安全。 |
应用代码关注要素 | 日志伪造漏洞,密码明文存储,资源管理,调试程序残留,二次注入,反序列化。 |
API滥用 | 不安全的数据库调用、随机数创建、内存管理调用、字符串操作,危险的系统方法调用。 |
源代码设计 | 不安全的域、方法、类修饰符未使用的外部引用、代码。 |
错误处理不当 | 程序异常处理、返回值用法、空指针、日志记录。 |
直接对象引用 | 直接引用数据库中的数据、文件系统、内存空间。 |
资源滥用 | 不安全的文件创建/修改/删除,竞争冲突,内存泄露 |
业务逻辑错误 | 欺骗密码找回功能,规避交易限制,越权缺陷Cookies和session的问题。 |
规范性权限配置 | 数据库配置规范,Web服务的权限配置SQL语句编写规范。 |
02
服务流程
PART
03
需提供的材料
提供源代码即可
PART
04
服务成果
通过分析存在的弱点和风险,为安全整改建议提供依据
PART
05
服务优势
(1)服务资质:国家工控安全质检中心西南实验室(哨兵科技)拥有国家级单位中国合格评定国家认可委(CNAS)的认可证书以及中国计量认证(CMA)证书,可出具专业权威的软件确认测试报告。
(2)服务方式:提供便捷的测试方式,包括上门测试、远程测试和视频测试,以最快的效率完成测试,解决您的燃眉之急。
(3)高效测试:5个工作日出具全套测试文件,3个工作日出具测试报告。如有加急需求,出具全套测试文件可加急3个工作日;出具测试报告,加急1个工作日。
PART
06
服务咨询
电话:19180716032(7*24小时服务)
哨兵信息科技集团有限公司
哨兵信息科技集团有限公司(简称“哨兵科技”)成立于 2019 年 1 月,注册资本 6500 万元。2019年7月,国家工业信息安全发展研究中心成立了国家工业控制系统与产品安全质量监督检验中心西南实验室(简称“西南实验室”),哨兵科技作为西南实验室落地实体企业,开展西南地区工业信息安全业务,支撑政府主管部门提升网络安全监管能力,主要提供安全服务、安全产品、工控系统与产品安全检测三类服务。
哨兵科技(西南实验室)是国家高新技术企业,以“提升防护能力捍卫工信安全”为己任,被评选为国家工业信息安全应急服务支撑单位、国家工业信息安全测试评估机构、国家CICSVD技术支持组成员单位,连续两届被评为成都市工业信息安全应急服务支撑单位。拥有CNAS、CMA、风险评估等多项资质,各类知识产权20余项,至今服务大型企业和各类企业几百余家。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...