随着信息化程度的不断提高,信息系统给人们代码便利的同时其本身的安全问题严重威胁我们的数据和隐私安全。
2011年开始,互联网泄密事件引爆了信息安全界。从技术门户CSDN数据库泄露到到商旅平台携程信用卡信息泄露、某酒店开房数据泄露、苹果ICould“艳照门” 事件等。整体安全状况堪忧,几乎每一个业务系统都原来越多的使用第三方开源应用、组件、库、框架,以及其他的软件模块;由于第三方应用平行部署在业务系统上,如果一个易受攻击的第三方应用或者框架组件被利用,这种攻击将导致严重的数据失窃或者系统沦陷。
一些业务系统由于自身的业务特性会开放许多数据接口用于数据处理,如果接口或者功能没有进行安全控制;在生产环境中也充斥的大量的中间件配置信息、业务数据信息、用户信息、源码备份文件、版本管理工具信息、系统错误等敏感信息的泄露等将会暴露出更多的攻击面,大大的降低黑客发现威胁的成本。而随之模块化的攻击工具包的日趋完善,将带来更大的威胁。
人们对于信息安全的认识也在逐步提高。信息安全已经被国家提到了一个前所未有的战略高度。
传统安全一般都是有黑客首先发现利用,在安全事件发生之后被动地进行补救,存在着明显的滞后性。很多企业对于安全防范意识不高安全投入较低。对于一般的传统安全服务确实每次针对一次的渗透结果进行针对性的修补却不能够彻底的修复系统漏洞,往往是安全服务结束后,进行部分暴露问题点进行修复,却不一定能够修复系统隐患。以至于在下次安全测试时同样的安全隐患同样存在。把系统安全比作一座冰山而一次安全服务也只能暴露出冰山的一脚。
应用系统代码安全审计则是针对系统应用特点和系统架构进行分析,对于系统重点模块以及脆弱功能点的源代码进行编码逻辑上的分析。结合传统黑盒测试技术对于发现的系统漏洞产生的原因进行分析,彻底的修复系统安全隐患。传统漏洞修复流程和代码审计漏洞修复流程如下图所示:
这两个流程明显的却别就是将系统安全隐患的发现修复过程提前到黑客之前,在没发生安全事故之前彻底消灭隐患。
天融信依托于安全研究实验室研究成果以及安全服务人员的技术经验积累,加上具有多年研发经验的技术人员组成一个“攻审兼备”代码审计的专业团队,通过黑盒测试和白盒审计相结合的方式进行代码审计服务。
我们的代码审计团队自从组建以来一致保持着人员的稳定以及源码审计技术的探索,基于OWASP TOP10的风险变化追踪的应用系统最新的安全趋势,以及框架漏洞分析。我们进行过税务系统的信息采集交换综合平台、认证抄报系统的源码审计项目;全国移动10省的代码审计醒目,以及北京移动、黑龙江移动代码审计项目。在审计的过程中积累了大量的大型系统源代码审计的审计经验。不断的总结并完善代码审计的方法体系。