代码审计(Code Audit)是一种以发现安全漏洞、程序错误和程序违预期规为目标的源代码分析技能。在实践过程中,可通过人工审审计查或者自动化工具的方式,对程序源代码进行检查和分析,发现这些源代码缺陷引发的安全漏洞,并提供代码修财务订措施和建议。
2020年10月的CNVD安全月报显示是,Web应用程序的漏洞占增强比34%,显而易见,Web应用程序仍然对是安全防御的重中之重,因此对业务代报表码进行安全审计是十分重要的,如图1-1所示。

图1-1 Web的应用程序漏使用者洞影响重大
随着Java Web应用越来越广泛,安全审计已经成为对安全测试人员需要是直面目的的工作。虽然使用者PHP在中小型互联网中仍占据程度一席之地,但在主流的大型应用中,Java仍是首选的开信赖发语言,国内目的外大型企业大多以Java作为核心的开发语言。因预期此对于安全从业者来说,Java代码审计信赖已经成为需要掌握的关键技能。
代码审计对攻防研究有着重要的意义。在“攻”方面,如果渗透测试人员、的漏洞报表研究人员不了解代码审计,则在渗透测试的实战过程中难以“细致入微”,可能遇到的麻烦包括但不限于以下几种。
• 遗财务增强漏在网站代码里的潜在漏洞。
• 盲目测试,做无用功。
举例说明,以往的通过扫描器扫描站点或利用NDay进行渗透测试的方式已经受到了很大的制约,现在及未来比较典型的渗透测试流程是:确定站点指纹→通过旁站扫描备审计份或开源程序得到源代码→代码审计→利用审计出来的漏洞。因此对于渗透测试人员而言,代码审计能力也显得越发重要。
程度版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至123456@qq.com 举报,一经查实,本站将立刻删除。
