背景介绍
● 本次合作的客户主要做采购服务,专注于为年采购额一亿以上企业提供采购咨询、采购软件、采购平台运营等服务,同时还可为用户提供系统开发服务。客户自有产品系统可以为用户实现从采购主数据、供应商管理、采购计划、招标比价、合同管理、收发货管理、付款管理的全流程支持,支持多种交付模式,其拥有几十余项采购软件著作权。
项目需求
●业务安全需求:开展本次合作是因为客户给甲方开发了一个系统,客户甲方要用这个系统做等保,等保整改其中一项需要提供代码审计报告,客户甲方临时要他们出具代码审计报告,导致本次合作时间紧迫。
●安全业务需求:客户甲方为确保等级保护测评工作的正常进行,依照等保要求来进行代码审计工作,实际进行安全检测从而提供一份完整的代码审计报告。
项目内容
依据客户及客户甲方的实际需求,确定对目标系统开展代码审计工作。
用户系统:XXX电子商务平台
解决方案:天磊卫士安全团队对该平台进行代码审计工作,由具备天磊卫士安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。
服务交付成果:《代码审计报告》
项目成果:本次安全检测发现两个低风险漏洞、一个高危漏洞,其中低危漏洞为用户名枚举和错误页面信息返回,高危漏洞为存储型XSS。
1、用户枚举
登录界面可以枚举出系统的用户名,进而对用户名进行针对性的爆破。
2、错误页面信息返回
初始错误页面返回中会带有调试信息或者错误堆栈信息,攻击者可以从中获取网站部分架构信息,进行下一步攻击。
3、存储型XSS
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。
针对以上漏洞,天磊卫士安全团队协助客户对其进行了修复,代码中不包含后门、隐蔽通道和高危漏洞。
安全建议
● 定期进行代码抽样审计
虽然在本次代码审计中发现了问题,仍然建议企业定期进行类似的安全抽样审计,保障不断发展的动态网络的持续安全。
● 系统上线前进行全面检测
在网站新上线或是部分功能更新时,建议进行全面的测试,确保无问题后再在正式环境中上线使用。
● 制定完善的开发文档
应该为网站制定完善的开发文档,不建议在开发过程中实现开发文档要求以外的功能,应该注重并严格遵守以下几方面内容:输入输出实现、程序变更准则、修改程序代码准则、程序验证准则、功能需求。
软件开发商在开发系统过程中应将网络安全问题考虑在内,为了后续工作方便,有必要时,交付系统前应对其进行安全检测,查找系统中是否存在中高危漏洞,以便及时修复整改。
天磊卫士 代码审计服务
源代码审计工作通过分析当前应用系统的源代码,熟悉业务系统,从应用系统结构方面检查其各模块和功能之间的关联、权限验证等内容;从安全性方面检查其脆弱性和缺陷。在明确当前安全现状和需求的情况下,对下一步的编码安全规范性建设有重大的意义。