Web代碼安全人工審計內(nèi)容的研究

何斌穎，楊林海

(云南工商學(xué)院，651700，昆明)

Web代碼安全人工審計內(nèi)容的研究

何斌穎，楊林海

(云南工商學(xué)院，651700，昆明)

Web系統(tǒng)的大量應(yīng)用，各種安全事故頻發(fā)，除了操作系統(tǒng)的安全漏洞以外，web系統(tǒng)的代碼在編制的時候，不良的編碼習(xí)慣、對操作過程中在代碼中顯露出安全重視不夠等因素，導(dǎo)致系統(tǒng)在生產(chǎn)線中存在或大或小的隱患。web系統(tǒng)上線之前，系統(tǒng)一般會進行白盒、黑盒測試，但是并不能保障足夠的安全,還應(yīng)對代碼和運行環(huán)境等進行詳細的人工審計，可以大大減少安全事故。

代碼審計；白盒；黑盒；安全漏洞；安全滲透

0 引言

LxLabs公司開發(fā)的HyperVM在2009年被黑客發(fā)現(xiàn)有嚴重的漏洞，造成10余萬站點的數(shù)據(jù)被黑客刪除，造成了用戶巨大的損失，諸如此類安全事故頻見于各大新聞媒體或行業(yè)通告。從技術(shù)角度來說對軟件造成威脅的本質(zhì)其實就是軟件在設(shè)計和編碼時存在安全漏洞，一旦漏洞被懷有惡意的黑客發(fā)現(xiàn)并利用即可對系統(tǒng)造成嚴重的威脅，給服務(wù)提供商和用戶造成巨大的經(jīng)濟損失。因此從軟件需求分析、設(shè)計、編碼一直到運行維護的幾個階段，完全有必要對軟件代碼進行安全審計，以降低軟件的脆弱性。代碼審計主要有2種方法：借助一些工具軟件來查找問題，另外一種方法是利用人工審核主要是彌補工具軟件的不足之處。

1 研究背景

Web網(wǎng)站在投入使用后，可能會出現(xiàn)操作系統(tǒng)漏洞、SQL注入、跨站腳本、未驗證的重定向和數(shù)據(jù)傳遞等安全問題，安全問題一旦出現(xiàn)，輕者系統(tǒng)需要重新安裝，重者數(shù)據(jù)沒有備份時會造成很嚴重的損失?！?br>