13434168323
相關文章
Related Articles詳細介紹
品牌 | 廣電計量 |
---|
服務范圍
軟件源代碼安全檢測:源代碼審計服務的范圍包括使用ASP、ASPNET(VB/C#)、JSP(JAVA)、PHP等主流語言開發的B/S應用系統、使用C++、JAVA、C#、VB等主流語言開發的C/S應用系統,以及使用XML語言編寫的文件、SQL語言和數據庫存儲過程等。
服務依據
軟件源代碼安全檢測:
GB/T 39412-2020《信息安全技術 代碼安全審計規范》
GB/T 34943-2017《C/C++語言源代碼漏洞測試規范》
GB/T 34944-2017《Java語言源代碼漏洞測試規范》
GB/T 34946-2017《C#語言源代碼漏洞測試規范》
服務流程
服務內容
序號 | 測試項 | 測試說明 |
1 | 系統所用開源框架 | 包含java反序列化漏洞,導致遠程代碼執行。Spring、Struts2的相關安全。 |
2 | 應用代碼關注要素 | 日志偽造漏洞,密碼明文存儲,資源管理,調試程序殘留,二次注入,反序列化。 |
3 | API濫用 | 不安全的數據庫調用、隨機數創建、內存管理調用、字符串操作,危險的系統方法調用。 |
4 | 源代碼設計 | 不安全的域、方法、類修飾符未使用的外部引用、代碼。 |
5 | 錯誤處理不當 | 程序異常處理、返回值用法、空指針、日志記錄。 |
6 | 直接對象引用 | 直接引用數據庫中的數據、文件系統、內存空間。 |
7 | 資源濫用 | 不安全的文件創建/修改/刪除,競爭沖突,內存泄露。 |
8 | 業務邏輯錯誤 | 欺騙密碼找回功能,規避交易限制,越權缺陷Cookies和session的問題。 |
9 | 規范性權限配置 | 數據庫配置規范,Web服務的權限配置SQL語句編寫規范。 |
服務優勢
具備CNAS、CMA資質,可出具報告
具備CCRC風險評估、安全集成、安全運維、應急處置服務資質,可出具相關檢測報告
具備ISO 27001、ISO 20000、ISO 9001等服務資質,管理體系完善
提供“咨詢-檢測-運營-培訓"一站式信息安全技術服務
擁有多名國際專家,核心團隊來自于頭部安全公司和檢測機構,具有豐富的行業資源和技術能力,具備資深的國際認證咨詢和檢測
服務經驗
主導和參與國家、行業、團體標準修訂100+項,其中信息安全領域15項
提供“標準化+定制化"特色服務
承擔通信、電力、軌道交通、汽車、金融、醫療、能源、政企、軍工等領域大型項目,服務經驗豐富
全國布局五大實驗室,覆蓋全國提供服務,提供就近就地、快速響應的服務
客戶收益
明確安全隱患點
提高安全開發意識
提高應用系統自身安全防護能力
降低軟件缺陷修復成本
降低源代碼出現的安全漏洞
服務案例
山東煙草某辦案系統代碼審計
華棲云某管理系統代碼審計
鐵路關鍵信息基礎設施開源代碼安全維護與漏洞檢測技術研究
國網某大數據服務系統軟件代碼審計
產品咨詢
電話
微信掃一掃