代码审计报告|江阴雨辰互联

2023年7月9日发(作者：)

源代码审计报告

；

一. 概述 ........................................................... 错误!未定义书签。

源代码审计概述 .................................................. 错误!未定义书签。

项目概述 ........................................................ 错误!未定义书签。

二. 审核对象 ....................................................... 错误!未定义书签。

应用列表 ........................................................ 错误!未定义书签。

参与人员 ........................................................ 错误!未定义书签。

代码审计所使用的相关资源 ........................................ 错误!未定义书签。

Microsoft .................................................... 错误!未定义书签。

Microsoft Visual Studio 2008 Code Analysis .................... 错误!未定义书签。

SSW Code Auditor .............................................. 错误!未定义书签。

三. 现状分析 ....................................................... 错误!未定义书签。

四. 审计结果 ....................................................... 错误!未定义书签。

门户（PORTAL） ................................................... 错误!未定义书签。

用户管理模块 .................................................. 错误!未定义书签。

）

站内搜索模块 .................................................. 错误!未定义书签。

文件上传模块 .................................................. 错误!未定义书签。

日志管理模块 .................................................. 错误!未定义书签。

错误处理模块 .................................................. 错误!未定义书签。

产品及解决方案 .................................................. 错误!未定义书签。

合作伙伴 ........................................................ 错误!未定义书签。

客户支持 ........................................................ 错误!未定义书签。

工作机会 ........................................................ 错误!未定义书签。

EDM ............................................................. 错误!未定义书签。

讨论组 .......................................................... 错误!未定义书签。

五. 审计结论与建议 ................................................. 错误!未定义书签。

审计结果简评 .................................................... 错误!未定义书签。

脆弱性和缺陷编程意见 ............................................ 错误!未定义书签。

定期进行代码抽样审计 ............................................ 错误!未定义书签。

系统上线前进行全面的测试 ........................................ 错误!未定义书签。

制定完善的开发文档 .............................................. 错误!未定义书签。

一. 概述

1.1 源代码审计概述

源代码审计工作通过分析当前应用系统的源代码，熟悉业务系统，从应用系统结构方面检查其各模块和功能之间的关联、权限验证等内容；从安全性方面检查其脆弱性和缺陷。在明确当前安全现状和需求的情况下，对下一步的编码安全规范性建设有重大的意义。

源代码审计工作利用一定的编程规范和标准，针对应用程序源代码，从结构、脆弱性以及缺陷等方面进行审查，以发现当前应用程序中存在的安全缺陷以及代码的规范性缺陷。

审核目的

本次源代码审计工作是通过对当前系统各模块的源代码进行审查，以检查代码在程序编写上可能引起的安全性和脆弱性问题。

审核依据

本次源代码审计工作主要突出代码编写的缺陷和脆弱性，以OWASP TOP 10 2010为检查依据，针对OWASP统计的问题作重点检查。

审计范围

点击打开文档OWASP TOP 10 2010

根据XX给出的代码，对其WEB应用作脆弱性和缺陷、以及结构上的检查。通过了解业务系统，确定重点检查模块以及重要文件，提供可行性的解决方法。

审计方法

通过白盒（代码审计）的方式检查应用系统的安全性，白盒测试所采用的方法是工具审查+人工确认+人工抽取代码检查，依照OWASP 2010 TOP 10所披露的脆弱性，根据业务流来检查目标系统的脆弱性、缺陷以及结构上的问题。

本次源代码审计分为三个阶段：

信息收集

此阶段中，源代码审计人员熟悉待审计WEB应用的结构设计、功能模块，并与客户相关人员商议、协调审计重点及源代码提供等方面的信息。

代码安全性分析

此阶段中，源代码审计人员会使用工具对源代码的脆弱性和安全缺陷进行初步的分析，然后根据客户关注的重点对部分代码进行手工审计，主要包含以下内容：

输入/输出验证。SQL注入、跨站脚本、拒绝服务攻击，对上传文件的控制等因为未能较好的控制用户提交的内容造成的问题；

安全功能。请求的参数没有限制范围导致信息泄露，Cookie超时机制和有效域控制，权限控制、日志审计等方面的内容；

程序异常处理。忽略处理的异常、异常处理不恰当造成的信息泄露或是不便于进行错误定位等问题；

代码规范性检查

此阶段中，源代码审计人员主要是利用一些代码规范检查工具对网站各功能模块的代码进行合规性检查，主要目的在于提高代码质量，使其更符合编码规范的要求，主要包括以下内容：

代码质量。例如对象错误或不适合调用导致程序未能按预期的方式执行，功能缺失；类成员与其封装类同名，变量赋值后不使用等；

等。

API滥用。例如调用非本单位直接控制的资源、对象过于频繁调用、直接调用空封装。多余的注释信息、调试信息问题导致应用系统信息暴露，错误的变量声明对象导致系统资源消耗过大或是程序执行效率低下等问题。

1.2 项目概述

在XX及WEB应用开发单位XX公司相关人员的协调与配合下，**公司安全测试小组于XXXX年XX月XX日至XX日对XX应用进行了源代码审计工作。在此期间内，**公司安全测试小组利用各种主流的代码审计工具以及手工检查等方式对网站主要功能模块的源代码进行了安全性及规范性检查，发现了源代码中存在的一些脆弱性、合规性问题及缺陷。

本文档即为**公司安全测试小组在进行代码审计工作完成后所提交的报告资料，用于对XXWEB应用的安全状况从代码层面作出分析和建议。

**公司代码审计服务是经过授权的，也是有时间限制的。二. 审核对象

2.1 应用列表

本次代码审核的对象包括：

基本信息

应用系统名称 XX WEB应用

□ ASP

□ （VB）

语言类型

□ （C#）

□ PHP

□ JSP（JAVA）