源代码审计报告目录一.................................................................................概述 11.1 源代码审计概述 11.2 项目概述 2二.................................................................................审核对象 32.1 应用列表 32.2 参与人员 32.3 代码审计所使用的相关资源错误!未定义书签。2.3.1 MicrosoftCAT.NAT 错误!未定义书签。2.3.2 MicrosoftVisualStudio2008CodeAnalysis 错误!未定义书签。2.3.3 SSWCodeAuditor 错误!未定义书签。三.................................................................................现状分析 4四.................................................................................审计结果 44.1 门户(PORTAL)错误!未定义书签。4.1.1 用户管理模块 44.1.2 站内搜索模块错误!未定义书签。4.1.3 文件上传模块错误!未定义书签。4.1.4 日志管理模块错误!未定义书签。4.1.5 错误处理模块错误!未定义书签。4.2 产品及解决方案错误!未定义书签。4.3 合作伙伴错误!未定义书签。4.4 客户支持错误!未定义书签。4.5 工作机会错误!未定义书签。4.6EDM 错误!未定义书签。4.7 讨论组错误!未定义书签。五....................................................................审计结论与建议 55.1 审计结果简评 55.2 脆弱性和缺陷编程意见 55.3 定期进行代码抽样审计 65.4 系统上线前进行全面的测试 65.5 制定完善的开发文档 7—・概述1.1 源代码审计概述源代码审计工作通过分析当前应用系统的源代码,熟悉业务系统,从应用系统结构方面检查其各模块和功能之间的关联、权限验证等内容;从安全性方面检查其脆弱性和缺陷。在明确当前安全现状和需求的情况下,对下一步的编码安全规范性建设有重大的意义。源代码审计工作利用一定的编程规范和标准,针对应用程序源代码,从结构、脆弱性以及缺陷等方面进行审查,以发现当前应用程序中存在的安全缺陷以及代码的规范性缺陷。审核目的本次源代码审计工作是通过对当前系统各模块的源代码进行审查,以检查代码在程序编写上可能引起的安全性和脆弱性问题。审核依据本次源代码审计工作主要突出代码编写的缺陷和脆弱性,以 OWASPTOP102010 为检查依据,针对 OWASP 统计的问题作重点检查。e 点击打开文档 OWASPTOP102010审计范围根据 XX 给出的代码,对其 WEB 应用作脆弱性和缺陷...
