源代码安全审查测试心得

ych999999999

   最近对一些WEB项目的源代码进行安全审查。在审查过程中发现，大多数开发单位的安全意识不高，主要体现在：
  1. 在项目开发过程中主要关注功能需求，未考虑安全需求。
  2. 虽有编码规范，但没有对安全方面提出要求。同时开发人员对安全编码知识了解有限或不了解，导致代码中存在一些不安全的编码方式。
  因此，被审查项目中常常存在一些常见的安全漏洞和业务逻辑处理的问题，如SQL注入、XSS、任意类型文件上传、目录遍历、命令注入、硬编码、缺失的权限检查、水平越权等。由于软件缺陷在后期的维护成本比前期的要大很多。因此，为提高软件安全质量，并节省后期的维护成本，应在软件开发初期，对系统面临的风险进行分析，提出安全要求，并在后续的设计、开发过程中对其进行实施。在安全设计过程中，需要考虑的常见的安全控制区域包括：输入验证、输出编码、身份验证、会话管理、授权、加密、错误处理、日志等。

lsekfe

支持下！

qqq911

感谢分享

jingzizx

目前确实是这样的

梦想家