安全代码审计
安全服务
网上应用系统是几乎所有公司的核心组件,其用途广泛,最常用于收集、处理、储存及传输敏感数据(如机密商业数据、人力资源数据、财务数据等)。
透过网上应用系统获取之数据的重要性增加了其被攻击的可能性,因此我们强烈建议进行定期评估。
我们的团队采用自动扫描与手动测试相结合的方法,评估Java、PHP及.NET网上应用系统的源码,以先网络罪犯一步发现漏洞。
我们的服务由拥有丰富攻防经验的高质素网络安全分析师及渗透测试员提供。
经常未能对通过认证的用户实施适当的访问控制,这可能导致水平及垂直权限升级漏洞。攻击者可以利用这些缺陷获取未经授权的功能及信息,例如入侵其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。我们的安全代码审查可辅以网上应用系统渗透测试,进行深入的漏洞侦测。
访问控制失效
我们在安全代码审查中测试什么?
我们的安全代码审查涵盖部分开放网络应用程序安全计划(OWASP)十大漏洞及CWE/SANS前25大最危险的软件错误。以下为部分检查项目的列表:
注入缺陷
SQL注入、OS指令注入及LDAP注入等网上应用系统威胁发生于用户提供的数据作为指令或查询的一部分发送至网上应用系统时。攻击者的恶意负载可能会欺骗网上应用系统执行非预期的指令或在未经适当授权的情况下存取数据。
认证失效
认证及对话管理经常设计错误,允许计算机罪犯破解用户凭证、密码匙或对话权标,或利用其他弱点冒用其他用户的身份。
许多过时或配置较差的XML解析器在XML文件中对外部实体引用进行评估。攻击者可利用外部实体窃取使用URI文件处理器的内部文件、共享内部文件、扫描内部端口、执行远程代码及实施拒绝服务攻击。
XML外部处理器(XXE)漏洞
许多网上应用系统及API无法适当保护敏感数据,例如信用卡号、用户凭证、患者数据等。网络罪犯可能窃取或窜改此类保护不足的数据,以进行信用卡欺诈、身份窃取或其他犯罪行为。
敏感数据泄露
跨站点脚本编程(XSS)
XSS漏洞发生于网上应用系统在未经适当确认及转义的情况下接受用户在网页中提供的输入时。跨站程序编程允许攻击者在受害者的浏览器执行手稿程序,导致劫持用户对话、窜改网站或将用户引领至恶意网站。
我们的网络安全认证资质
威联科技安全顾问和渗透测试工程师都拥有网络安全和渗透测试领域最具含金量的证书,比如:CREST CRT、SANS/GIAC GXPN、GPEN、 GWAPT、GCIH、GMOB、OSCP、CEH、CISSP、CISA等!
北京威联科技有限公司隶属于威联控股集团。除了我们位于瑞士的公司总部之外,我们还在美国、新加坡、马来西亚、墨西哥、德国和巴西开设了分公司,能够实现“日不落”的模式提供服务。
联系我们:contact_CN@wizlynxgroup.com
关于我们
联系客服
关注公众号