如何进行代码审计?和人工分析代码同样重要的几件事

2019年11月19日 18:53:23 作者:必火网络安全 阅读数:15701
网络安全渗透测试北京实地培训:报名电话:18622800700,手机微信同号。推荐学员入学奖励现金2000元

                                                     

代码审计的目标是对海量代码进行检查,进而发现有缺陷的代码,在此过程中,应采用先进的安全审计技术,保证审计的全面性。对此,本文将对代码审计要点进行分析。

1、代码扫描

采用代码扫描过程中,应采用有效的工具对数据流、配置形式等进行分析。代码扫描工具类型较多,不同扫描工具的应用特点和侧重点有一定的区别,通常可采用侧重于代码安全审计的Fortify作为扫描工具。

2、人工分析

在利用工具进行扫描时,可能会有漏洞,对此,还应组织工作人员进行人工扫描。对系统设计文档进行分析,对各项业务流程进行跟踪管理,进而发现业务逻辑设计中的不足。

3、代码反编译

在代码反编译中,可采用Java,在代码变异后,打成jar包,对此,可利用反编译方式,将jar包转换为源代码文件,然后再进行深入分析。

4、漏洞验证

在代码安全审计后,可发现代码漏洞,其中有些漏洞可被利用,对此,可模拟黑客手法,对漏洞进行有效利用,其中最为常见的方法为渗透测试法,通过利用渗透测试方式,能够对漏洞对于系统的影响进行全面分析。另外,在进行漏洞验证时,对于可以利用的漏洞,可根据代码分析结构构造利用脚本,出发漏洞,对服务器进行有效控制。

上文就是对于代码审计的注意事项,通过对计算机系统进行代码审计,能够及时发现系统漏洞,并采取有效的预防控制措施,保证系统安全。