源代码审计报告
目录
一. 概述 ........................................................... 错误!未定义书签。
源代码审计概述 .................................................. 错误!未定义书签。 项目概述 ........................................................ 错误!未定义书签。
二. 审核对象 ....................................................... 错误!未定义书签。
应用列表 ........................................................ 错误!未定义书签。 参与人员 ........................................................ 错误!未定义书签。 代码审计所使用的相关资源 ........................................ 错误!未定义书签。
Microsoft .................................................... 错误!未定义书签。 Microsoft Visual Studio 2008 Code Analysis .................... 错误!未定义书签。 SSW Code Auditor .............................................. 错误!未定义书签。 三. 现状分析 ....................................................... 错误!未定义书签。 四. 审计结果 ....................................................... 错误!未定义书签。
门户(PORTAL) ................................................... 错误!未定义书签。
用户管理模块 .................................................. 错误!未定义书签。 站内搜索模块 .................................................. 错误!未定义书签。 文件上传模块 .................................................. 错误!未定义书签。 日志管理模块 .................................................. 错误!未定义书签。 错误处理模块 .................................................. 错误!未定义书签。
产品及解决方案 .................................................. 错误!未定义书签。 合作伙伴 ........................................................ 错误!未定义书签。 客户支持 ........................................................ 错误!未定义书签。 工作机会 ........................................................ 错误!未定义书签。
EDM ............................................................. 错误!未定义书签。 讨论组 .......................................................... 错误!未定义书签。
五. 审计结论与建议 ................................................. 错误!未定义书签。
审计结果简评 .................................................... 错误!未定义书签。 脆弱性和缺陷编程意见 ............................................ 错误!未定义书签。 定期进行代码抽样审计 ............................................ 错误!未定义书签。 系统上线前进行全面的测试 ........................................ 错误!未定义书签。 制定完善的开发文档 .............................................. 错误!未定义书签。
一. 概述
1.1 源代码审计概述
源代码审计工作通过分析当前应用系统的源代码,熟悉业务系统,从应用系统结构方面检查其各模块和功能之间的关联、权限验证等内容;从安全性方面检查其脆弱性和缺陷。在明确当前安全现状和需求的情况下,对下一步的编码安全规范性建设有重大的意义。
源代码审计工作利用一定的编程规范和标准,针对应用程序源代码,从结构、脆弱性以及缺陷等方面进行审查,以发现当前应用程序中存在的安全缺陷以及代码的规范性缺陷。
审核目的
本次源代码审计工作是通过对当前系统各模块的源代码进行审查,以检查代码在程序编写上可能引起的安全性和脆弱性问题。
审核依据
本次源代码审计工作主要突出代码编写的缺陷和脆弱性,以OWASP TOP 10 2010为检查依据,针对OWASP统计的问题作重点检查。
审计范围
点击打开文档