代码安全审计（一）基本介绍

什么是代码安全审计？

  代码安全审计是指有开发和安全经验的人员，通过阅读开发文档和源代码，以自动化分析工具或者人工分析为手段，对应用程序进行深入分析，高效全面的发现系统代码的编码缺陷以及开发人员不安全的编程习惯，并指导开发人员进行修复，保障应用系统的安全运行。

代码安全审计场景

  

代码审计前端知识

-熟悉基本漏洞原理
-熟悉基础开发，如java、js、html、jsp、数据库等
-熟悉基础开发框架，如spring、Struts2、Hibernate等
-学习渗透基本原理，结合源代码找漏洞
-关注最新漏洞

代码审计工作流程

  配置分析环境—熟悉业务流程—分析程序架构—工具自动化分析—人工审计结果—整理审计报告

java九大内置对象

-request
-session
-config
-response
-application
-page
-pageContext
-Out
-exception

java中危险函数

-getParameter()
-getheaders()
-getcookies()
-Runtime.exec()
-getQueryString()
-logger.infor
-password
-upload
-download