返回介绍

为什么需要代码审计

发布于 2024-10-11 22:07:40 字数 695 浏览 0 评论 0 收藏 0

代码审计是企业安全运营以及安全从业者必备的基础能力

。代码审计在很多场景中都需要用到,比如企业安全运营、渗透测试、漏洞研究等。目前已经有不少公司在推广微软的软件 SDL(Security Development Lifecycle,安全开发周期),它涵盖需求分析→设计→编码→测试→发布→维护,安全贯穿整个软件开发周期,其中设计、编码和测试是整个 SDL 的核心,安全问题大多在这里被解决掉。其中在安全设计这块,必须要非常了解漏洞形成原理,纵观全局。而在代码实现也就是编码阶段,安全依靠于编程人员的技术基础以及前期安全设计的完善性。然后是测试,测试包括白盒测试。黑盒测试以及灰盒测试。黑盒测试也叫功能测试,是指在不接触代码的情况下,测试系统的功能是否有 bug,是否满足设计需求。而白盒测试就是我们说的代码审计,以开放的形式从代码层面寻找 bug,如果发现有 bug 则返回修复,直到没有 bug 才允许软件发布上线。

渗透测试人员掌握代码审计是非常重要的,因为我们在渗透过程中经常需要针对目标环境对 payload 进行调试。另外,如果通过扫描器扫描到 Web 目录下的一个源码备份包,通常攻击者都会利用源码包找一些配置文件,因为里面有数据库、API 等一类配置。如果环境有限制,比如目标站数据库限制连接 IP 等,那么工具小子可能在源码包进行的漏洞利用也就到此为止。对于懂代码审计的人,结果完全不一样,他可以对源码包进行安全审计,发现网站代码里存在的漏洞,然后利用挖掘到的漏洞进行渗透。

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。
列表为空,暂无数据
    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文