通过自动化分析工具与人工审查结合的审计方式,对程序源代码从结构、脆弱性以及缺陷等方面逐条进行检查分析,挖掘当前代码中存在的安全缺陷以及规范性缺陷,并提供安全修复的建议。
包含但不限于输入验证、输入编码、身份验证和密码管理、会话管理、访问控制、加密规范、错误处理和日志、数据保护、通讯安全、系统配置、数据库安全、文件管理、内存管理和编码实践等。
包括各种组织公布的常见典型的安全漏洞,例如OWASP TOP 10等。
在新功能上线时,对业务源代码进行审计,发现黑盒测试中无法找到的安全缺陷,降低业务上线后的安全风险。
在进行线上系统渗透测试的过程中,代码审计可以采用白盒测试+黑盒测试模式,协助测试进行,提高渗透测试效果。
发现代码中存在功能设计不合理的问题后,可提供相应的安全开发经验作为参考,让开发人员更好的完善代码安全开发规范。
行业领先的全链路红队产品矩阵,从攻击者视角出发,覆盖了攻击全流程各个节点, 帮助安全团队发现未知暴露面、评估安全风险、提升攻击能力,全面建设安全团队攻防能力。
联系我们