代码审计常用漏洞总结
 
1.1 审计方法总结
 
主要代码审计方法是跟踪用户输入数据和敏感函数参数回溯：
 
跟踪用户的输入数据，判断数据进入的每一个代码逻辑是否有可利用的点，此处的代码逻辑
 
可以是一个函数，或者是条小小的条件判断语句。
 
敏感函数参数回溯，根据敏感函数，逆向追踪参数传递的过程。这个方法是最高效，最常用
 
的方法。大多数漏洞的产生是因为函数的使用不当导致的，只要找到这些函数，就能够快速
 
挖掘想要的漏洞。
 
以下是基于关键词审计技巧总结：
 
在搜索时要注意是否为整个单词,以及小写敏感这些设置
 
 
漏洞名称
 
 
关键词
 
 
 
 
 
 
 
 
密码硬编码、密码明文存储
 
 
password 、pass、jdbc
 
 
 
 
 
 
 
 
XSS
 
 
getParamter、<%=、param.
 
 
 
 
 
 
 
 
SQL 注入
 
 
Select、Dao 、from 、delete 、update、insert
 
 
 
 
 
 
 
 
任意文件下载
 
 
download 、fileName 、filePath、write、getFile、getWriter
 
 
 
 
 
 
 
 
任意文件删除
 
 
Delete、deleteFile、fileName 、filePath
 
 
 
 
 
 
 
 
文件上传
 
 
Upload、write、fileName 、filePath
 
 
 
 
 
 
 
 
命令注入
 
 
getRuntime、exec、cmd、shell
 
 
 
 
 
 
 
 
缓冲区溢出
 
 
strcpy,strcat,scanf,memcpy,memmove,memeccpy
 
 
 
 
 
Getc(),fgetc(),getchar;read,printf
 
 
 
 
 
 
 
 
XML 注入
 
 
DocumentBuilder、XMLStreamReader、SAXBuilder、SAXParser
 
 
 
 
 
SAXReader 、XMLReader
 
 
 
 
 
SAXSource 、TransformerFactory 、SAXTransformerFactory 、
 
 
 
 
 
SchemaFactory
 
 
 
 
 
 
 
 
反序列化漏洞
 
 
ObjectInputStream.readObject
 
 
 
 
 
、ObjectInputStream.readUnshared、XMLDecoder.readObject
 
 
 
 
 
Yaml.load 、 XStream.fromXML 、 ObjectMapper.readValue 、
 
 
 
 
 
JSON.parseObject
 
 
 
 
 
 
 
 
url 跳转
 
 
sendRedirect、setHeader、forward
 
 
 
 
 
 
 
 
不安全组件暴露
 
 
activity 、 Broadcast Receiver 、 Content Provider 、 Service 、
 
 
 
 
 
inter-filter
 
 
 
 
 
 
 
 
日志记录敏感信息
 
 
log log.info logger.info
 
 
 
 
 
 
 
 
代码执行
 
 
eval、system、exec
 
 
 
 
 
 
 
2.1 可基于关键词审计的漏洞
 
2.1.1 密码硬编码
 
审计方法
 
密码硬编码最容易找，直接用 Sublime Text 打开项目目录，然后按 Ctrl + Shift + F 进行全局
 
搜索 password 关键词：
 
 
2.1.2 反射型 XSS
 
审计方法：反射型 XSS 一般 fortify 一般都能扫描出来
 
如果是手工找，可全局搜索以下关键词
 
getParamter
 
<%=
 
param.
 
漏洞代码示例：
 
 
 
1.    EL 表达式输出请求参数：
 
 
代码在 170 行和 305 行处获取请求参数中的 groupId 值，在未经检查参数合法性的情况
 
下输出在 JavaScript 代码中，存在反射型 XSS 漏洞。
 
2.    输出 getParamter 获取的参数
 
 
然后在 224 行打印到如下的 js 代码中：
 
 
2.1.3 存储型 XSS
 
审计方法：方法有主要有两种：
 
全局搜索数据库的插入语句(关键词：insert,save,update)，然后找到该插入语句所属的方 法名如 (insertUser()) ， 然后全局搜索该方法在哪里被调用， 一层层的跟踪。直到 getParamter()方法获取请求参数的地方停止，如果没有全局 XSS 过滤器，跟踪的整个流 程都没有对获取的参数过滤，则存在存储型 XSS。
 
 
 
从 getParamter 关键词开始 ，跟踪请求参数，直到插入数据库的语句，如果中间没有过 滤参数，则存在存储型 XSS。
 
 
 
代码中 45 行和 46 行获取 usertype 和 name 的值，然后在 56 行存进数据库由于没有过
 
滤传进来的参数，所以会在显示时出来触发 XSS
 
2.1.4SQL 注入
 
审计方法：
 
SQL 注入一般 fortify 一般都能扫描出来
 
手动找的话，一般直接搜索 select、update、delete、insert 关键词就会有收获
 
如果 sql 语句中有出现+ append、 $（） # 等字眼，如果没有配置 SQL 过滤文件，则判断存
 
在 SQL 注入漏洞
 
 
当找到某个变量关键词有 SQL 注入漏洞时，还可以直接全局搜索那个关键词找出类似漏洞
 
的文件，上面中可以直接全局搜索 tableName 关键词：
 
 
要查找那个页面调用到含有漏洞的代码，就要跟踪方法的调用栈。以上面的注入点 tableName 为例：
 
双击打开该文件，然后查看该变量所在函数：
 
 
发现该函数对应的 URL 为/lookOverCubeFile ，对应的功能为查看模型任务生成的文件。
 
2.1.5 任意文件下载
 
审计方法：全局搜索以下关键词 fileName
 
filePath getFile getWriter
 
漏洞示例：
 
 
代码在 downloadFile()函数中获取请求参数中的 affixalName 的值，然后赋值给 FileName
 
变量，接着在 196 行处通过拼接字符串赋值给 downPath 变量，然后在 198 行处调用
 
download 函数并把 downPath 的值传进函数，download 函数的代码如下：
 
 
 
 
download 函数把 filePath 处的文件写到 http 响应中，在整个流程中并没有对文件名的合法
 
性进行检查，存在任意文件下载漏洞，如通过把 affixalName 的值设置
 
为../../../WEB-INF/web.xml 可以下载网站的 web.xml 文件。
 
2.1.6 任意文件删除
 
审计方法：任意文件删除漏洞搜索以下关键词可以找到： delete, deleteFile,fileName ,filePath
 
漏洞案例：
 
 
代码在 41 行获取 fileName 的值，在 44 行处调用 ds.deleteFile()函数删除文件，该函数的代
 
码如下：
 
 
在整个流程中并没有对文件名的合法性进行检查，存在任意文件删除漏洞，如通过把 fileName 的值设置为../WEB-INF/web.xml 可以删除网站的 web.xml 文件。
 
2.1.7 文件上传
 
审计方法：
 
文件上传可以搜索以下关键词：（需注意有没有配置文件上传白名单）
 
upload，write,fileName ,filePath
 
在查看时，主要判断是否有检查后缀名，同时要查看配置文件是否有设置白名单或者黑名单，
 
像下面这种是检查了的：
 
 
下面的这种没检查：
 
List<FileItem> fileItems = servletFileUpload.parseRequest(request); for (int i = 0; i < fileItems.size(); ++i) {
 
FileItem fi = (FileItem) fileItems.get(i); String strFileName = fi.getName();
 
if (strFileName != null && !"".endsWith(strFileName)) { String fileName = opId + "_" + getTimeSequence() + "."
 
+ getFileNameExtension(strFileName);
 
String diskFileName = path + fileName; File file = new File(diskFileName); if (file.exists()) {
 
file.delete();
 
}
 
fi.write(new File(diskFileName)); resultArrayNode.add(fileName);
 
......
 
private String getFileNameExtension(String fullFileName) { if (fullFileName == null) {
 
return null;
 
}
 
int pos = fullFileName.lastIndexOf(".");
 
if (pos != -1) {
 
return fullFileName.substring(pos + 1, fullFileName.length());
 
} else {
 
return null;
 
}
 
 
 
2.1.8 命令注入
 
审计方法：可以搜索以下关键词： getRuntime,exec,cmd,shell
 
 
在第 205 行中，通过拼接传过来的 ip 值来执行命令。如果 ip 值通过外部传入，则可以构造
 
以下的 ip 值来执行 net user 命令：
 
127.0.0.1&&net user
 
2.1.9 缓冲区溢出
 
审计方法：主要通过搜索关键词定位，再分析上下文
 
可搜索以下关键字：
 
strcpy,strcat,scanf,memcpy,memmove,memeccpy Getc(),fgetc(),getchar;read,printf
 
漏洞示例：
 
文件\kt\frame\public\tool\socket_repeater\mysocket.h 中第 177 行，这里的的参数
 
hostname 拷贝到 m_hostname，具体如下图所示：
 
 
m_hostname 的大小为 MAXNAME
 
继续看，可以看到大小为 255
 
 
如果传入的长度比 255 要大，就会造成缓冲区溢出。
 
2.1.10XML 注入
 
审计方法：
 
XML 解析一般在导入配置、数据传输接口等场景可能会用到，可通过搜索以下关键字定位：
 
DocumentBuilder、XMLStreamReader、SAXBuilder、SAXParser、SAXReader 、XMLReader、SAXSource 、TransformerFactory 、SAXTransformerFactory 、SchemaFactory
 
涉及到 XML 文件处理的场景可留意下 XML 解析器是否禁用外部实体，从而判断是否存在 XXE
 
漏洞示例：
 
在代码 6 行处、获取 DOM 解析器，解析 XML 文档的输入流，得到一个 Document
 
 
如果没有禁用 DTD 则存在 XXE 漏洞，以下代码为 XXE 防御代码
 
 
 
 
2.1.11 日志记录敏感信息
 
审计方法：
 
通过搜索关键词 log.info logger.info 来进行定位
 
在SFtpOperate.java文件中，代码134行处，直接将用户名密码记录在日志中
 
2.1.12URL 跳转
 
审计方法：通过搜索以下关键词定位：
 
sendRedirect、setHeader、forward
 
需注意有没有配置 url 跳转白名单
 
漏洞示例：
 
以下代码中 40 行处只判断 site 只是否为空，没有对 url 进行判断是否为本站 url，导致了 url
 
跳转漏洞
 
 
2.1.13 敏感信息泄露及错误处理
 
审计方法：查看配置文件是否配置统一错误页面，如果有则不存在此漏洞，如果没有再通过
 
搜索以下关键词搜索定位,
 
Getmessage、exception
 
漏洞代码示例：
 
在以下文件中代码 89 行处打印出程序发生异常时的具体信息
 
 
2.1.14 反序列化漏洞
 
审计方法：
 
Java 程序使用 ObjectInputStream 对象的 readObject 方法将反序列化数据转换为 java 对象。
 
但当输入的反序列化的数据可被用户控制，那么攻击者即可通过构造恶意输入，让反序列化
 
产生非预期的对象，在此过程中执行构造的任意代码。
 
反序列化操作一般在导入模版文件、网络通信、数据传输、日志格式化存储、对象数据落磁
 
盘或 DB 存储等业务场景,在代码审计时可重点关注一些反序列化操作函数并判断输入是否
 
可控，如下：
 
ObjectInputStream.readObject
 
ObjectInputStream.readUnshared
 
XMLDecoder.readObject
 
Yaml.load
 
XStream.fromXML
 
ObjectMapper.readValue
 
JSON.parseObject
 
漏洞示例：
 
以下代码中，程序读取输入流并将其反序列化为对象。此时可查看项目工程中是否引入可利
 
用的 commons-collections 3.1、commons-fileupload 1.3.1 等第三方库，即可构造特定反序列
 
化对象实现任意代码执行。
 
 
 
 
2.1.15 不安全组件暴露
 
审计方法：
 
通过查看配置文件 AndroidManifest.xml,查看<inter-filter>属性有没有配置 false
 
AndriodManifest.xml 文件中，代码 24 行处 activity 组件添加<intent-filter>属性，没有配置 false,
 
默认组件可被导出
 
 
3.1 其他漏洞审计方法
 
3.1.1CSRF
 
审计方法:通过查看配置文件有没有配置 csrf 全局过滤器，如果没有则重点看每个操作前有
 
没有添加 token 的防护机制
 
在 Smpkpiappealcontroller.java 中 200 处，直接用用 ids 控制删除操作，而没有添加防
 
csrf 的随机 token 验证检查，存在 csrf 漏洞。
 
 
Java/main/com/venustech/tsoc/cupid/smp/kpi/dao/smpkpideclardao.java 517 行，对传
 
入的 ids 进行删除操作。
 
 
3.1.2Struts2 远程代码执行漏洞
 
审计方法：查看 struts 插件的版本信息是否为漏洞版本
 
漏洞版本查询网址：https://www.exploit-db.com/
 
3.1.3 越权操作
 
审计方法：重点关注用户操作请求时查看是否有对当前登陆用户权限做校验从而确定是否存 在漏洞，有些厂商会使用一些主流的权限框架，例如 shiro ,spring security 等框架，那么需要 重点关注框架的配置文件以及实现方法
 
漏洞示例：
 
在以下文件中采用了 shiro 框架进行权限控制，在代码 58-72 行处为控制访问路径的权限设
 
置，51-55 行处为对 admin 路径下访问限制，只有 SysyUserFilter 设置了 isAccessAllowed
 
方法,其他过滤均没有
 
 
SysUserFilter 中 isAccessAllowed 具体实现方法如下，90-93 行处没有对是否为当前用户进
 
行判断，导致了越权
 
 
其他过滤文件均只设置了 onAccessDaniad()方法
 
 
如果没有使用框架的话，就要注意每个操作是否有权限
 
代码 7 行处获取 session 里的 username，只判断了 username 是不是为空，如果在截取
 
数据包的时候将 username 再重新赋一个值就有可能造成越权漏洞。
 
 
以这个年度服务费用编制功能为例，测试一下，代码如图所示：
 
 
 
3.1.4 会话超时设置
 
审计方法：
 
Javaweb 应用会话超时设置一般有俩种方法：
 
一是在配置文件 web.xml 设置
 
 
二是通过 java 代码设置
 
 
3.1.5 敏感数据弱加密
 
审计方法：
 
敏感数据弱加密主要看数据传输中的加密方法，一般写在工具类 util 中
 
以下文件中为 base64 编码方法
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

 
 
代码审计（Code Audit）是指安全代码评估者尽可能的通过阅读应用系统的源代码来发现潜在的安全漏洞及隐患的技术手段。
 代码审计的技术手段，可以弥补黑盒渗透测试的未能完全覆盖的漏洞环节与安全隐患，是一种可靠性、安全性最高的修补漏洞的方法。
 可以通过对常见的编程语言如ASP、ASP.NET、PHP、JAVA、C++等语言进行源代码审计，查找出代码中存在的安全问题。
 
 
 
PHP代码审计准备
 
代码审计环境准备
 
 
 
  搭建php环境：
  
 

  php作为一门脚本语言，要运行它必须需要一个php的运行环境。PHP作为最流行的Web编程语言，大部分中间件都会有对php的支持。这里为了方便我们进行代码审计，减少不必要的配置时间，我们选择phpstudy。phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer。
  
 理由：
 
 
 

  phpstudy支持php不同版本之间的切换，这对代码审计尤为重要。（独特）
  
 phpstudy一键集成安装，不需要复杂的环境配置。
  
 phpstudy默认支持多款中间件，方便我们在不同中间件下进行审计。
 
 
 
  浏览器：
  
 

  代码审计过程中，我们经常需要测试代码在浏览器返回的结果。安装多款性能强大的浏览器可以对我们代码审计起到很大的帮助。
  
 Mozilla Firefox：开源，多插件，强引擎，多系统。
  
 Chrome：稳定，快速，开发者调试工具。
 
 
 
  编辑器:
  
 

  俗话说的好，工欲善其事，必先利其器。成功的代码审计自然离不开编辑器的帮助，一款适合自己的编辑器可以让我们阅读代码的速度事半功倍。
  
 例如：
  
 
  
  
 编辑器可以给我们提供以下必不可少的优点。
  
 语法高亮
  
 语法折叠
  
 代码补全
  
 函数断点
  
 批量注释
  
 函数跳转
  
 变量追踪
 
 
 
  程序源码
  
 

  就好比再好的厨师也不能不用材料做饭，代码审计的前提也是获得审计目标的源代码。因此在审计前，我们需要从想办法获得源码。
  
 •获得源码
  
 大多数PHP程序都是开源的、找到官网下载最新的源码包就好了。
  
 •安装网站
  
 在本地搭建网站，一边审计一边调试。实时跟踪各种动态变化。
 
 
 
代码审计工具使用
 
seay代码审计工具
 
一键化自动白盒审计：
 提供了自动审计功能，虽然不够精确，但是却能帮助我们迅速找出敏感函数与敏感参数。同时根据情形，简单的分析出可能出现的漏洞，为我们提供思路上的额帮助。
 可以看到，将我们的网站目录选入，开始扫描后。扫描出了 敏感函数extract，同时其中含有变量，这将可能导致变量覆盖漏洞。
 但是功能并不是十全十美的，他只是利用正则对网站整体进行了扫描，所以有没有漏洞必须要我们人工判别。
 
代码调试：
 
正则编码：正则编码可以帮助我们判别正则表达式。同时可以写出字符串。利用正则进行匹配。
自定义插件与规则。
自定义审计规则。
数据库执行监控。
 
代码审计流程与方法
 
 
 
  代码审计过程中应该先对大局有所把握，了解要审计的整个网站大概框架是什么，工作流程是什么等。把握大局可以有以下几点：
  
 

  网站结构：浏览源码文件夹，了解该程序的大致目录
  
 
  入口文件：index.php、admin.php文件一般是整个程序的入口，详细读一下index文件可以知道程序的架构、运行流程、包含那些配置文件，包含哪些过滤文件以及包含那些安全过滤文件，了解程序的业务逻辑。
  
 
  配置文件：一般类似config.php等文件，保存一些数据库相关信息、程序的一些信息。先看看数据库编码，如果是gbk则可能存在宽字节注入。如果变量的值用双引号、则可能存在双引号解析代码执行的问题。
  
 
  过滤功能：通过详读 公共函数文件 和 安全过滤文件 等文件，清晰掌握用户输入的数据，哪些被过滤，哪些无过滤，在哪里被过滤了，如何过滤的，能否绕过过滤的数据。过滤的方式是替换还是正则？有没有GPC？有没有使用addslasher()处理？
 
 
 
  了解网站目录结构，重要文件目录作用
  
 

  
 
 
 
  几种常见审计方法：
  
 

  通读全文法
  
 通读全文发作为一种最麻烦的方法也是最全面的审计方法。特别是针对大型程序，源码成千上万行，这要读到什么时候。但是该方法也是一种必要的方法。了解整个应用的业务逻辑，才能挖掘到更多更有价值的漏洞。
  
 这种方法一般是企业对自身产品的审计，当然，对于小型应用，未尝不可以读一读。
  
 前面的把把握大局也包含在通读全文法里面，也是通读全文的第一步。
  
 当然通读全文也不是傻乎乎的顺着目录一个一个代码全部读一遍，而是根据网站的目录文件，对每个功能点进行完全的代码通读，这样才可以更好的理解整个Web程序，完成审计。
  
 例如：
  
 首先看程序的大体代码结构，比如主目录存在哪些文件，模块目录存在哪些文件。
  
 除了关注有哪些文件，我们还要注意文件的大小，创建时间。我们根据这些文件的命名就可以大致了解程序具体功能，寻找核心文件。在看程序目录结构的时候，我们要特别注意几个文件，分别如下：
  
 函数集文件，通常命名中包含functions或者common等关键字，这些文件里面是一些公共的函数，提供给其他文件统一调用，所以大多数文件都会在文件头部包含到它们，寻找这些文件一个非常好用的技巧就是去打开index.php或者一些功能性文件，在头部一般都能找到。
  
 配置文件，通常命名里面包括config这个关键字，配置文件包括Web程序运行必须的功能性配置选项以及数据库等配置信息，从这个文件里面可以了解程序的小部分功能，另外看这个文件的时候注意观察配置文件中参数值是用单引号还是用的双引号包起来，如果是双引号，则很大可能会存在代码执行漏洞，例如下面kuwebs的代码，只要我们在修改配置的时候利用PHP可变变量的特性即可执行代码。
  
 $kuWebsiteURL = “http://www.kuwebs.com”; $kuWebsiteSupportEn= “1”; 安全过滤文件，安全过滤文件对我们做代码审计至关重要，关系到我们挖掘到的可疑点能不能利用，通常命名中有filter、safe、check、clean、dirty、waf等关键字，这类文件主要是对参数进行过滤，比较常见的是针对SQL注入和XSS过滤，还有文件路径、执行的系统命令的参数，其他的则相对少见。而目前大多数应用都会在程序的入口循环对所有参数使用addslashes()函数进行过滤。
  
 index文件，index是一个程序的入口文件，所以通常我们只要读一遍index文件就可以大致的了解整个程序的架构，运行的流程，包含到的文件，其中核心的文件又有哪些，而不同目录的index文件也有不同的实现方式，建议最好是先把几个核心目录的index文件都简单读一遍。
  
 
  敏感函数参数回溯法
  
 敏感函数参数回溯法就是根据敏感函数，逆向追踪参数传递的过程。这个方法是最高效，最常用的方法。
  
 大多数漏洞的产生是因为函数的使用不当导致的。我们只要找到这样的一些使用不当的函数，就可以快速挖掘想要的漏洞。
  
 这方面，Seay法师大大有一款神器 Seay源代码审计系统，主要是利用正则匹配一些高危函数、关键函数以及敏感关键字。
  
 然后，我们就可以分析判断敏感函数的上下文，追踪参数源头。尝试控制可控的参数变量。
  
 例如：
  
 首先可以利用抓包软件，观察我们GET或者POST的参数名称，在php代码中进行参数名的回溯追踪。
  
 发现了php接受参数的函数，观察函数对参数的处理流程，直到最后一步完成，完成追踪。
  
 通常在提交请求前的变量，都是攻击者可控都是不安全的，因此我们观察是否对参数进行完整的处理。
  
 我们也可以使用一些软件自带的变量追踪，方便我们调试，可以看到具体变量传递到函数，以及函数处理完之后的变化。
  
 
  定向功能分析法
  
 定向功能分析法主要是根据程序的业务逻辑来说审计的。首先是用浏览器逐个访问浏览，看看这套程序有那些功能。根据相关功能，大概推测可能存在那些漏洞。找到具体的功能模块，主要审计此模块。
 
 
 
  常见功能漏洞：（包括但不限于）
  
 

  程序初始安装
  
 如，有些安装程序可能存在重装漏洞，网站数据库被重置。
  
 站点信息泄漏
  
 如：某些关键目录信息，如adnmin登陆界面，数据库管理界面，网站源码等。
  
 文件上传漏洞
  
 如：文件上传全套每部存在问题。
  
 文件管理
  
 如：服务器文件可以被远程读取，写入。
  
 登陆认证
  
 如：暴力破解，没有多重认证系统。
  
 数据库备份恢复
  
 如：利用数据库备份拿shell。
  
 越权（横向越权，纵向越权）
  
 如：越权执行敏感操作，如修改其他用户信息。
  
 投票，积分，抽奖活动
  
 如：单用户多次抽奖。
  
 任意密码重置
  
 如：充值他人密码。
  
 验证码绕过
  
 如：验证码过于简单，可以被绕过等。
 
 
 
  审计总结
  
 

  审计过程中，我们不要局限于固定的方法，适当的天马行空，找到适合自己的审计思路。
  
 同时审计时，经常需要结合多种方法，不要局限于定性知识。
 
 
 
 
 
欢迎关注公众号，原创不易，转载请注明来源【爱国小白帽】😘
 
 

 
代码审计感想
 
代码审计内容
代码审计工具
漏洞扫描
漏洞扫描有以下四种检测技术：
  
 

 
代码审计内容
 
代码审计（Code audit）是一种以发现程序错误，安全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目中源代码的全面分析，旨在发现错误，安全漏洞或违反编程约定。 它是防御性编程范例的一个组成部分，它试图在软件发布之前减少错误。 C和C ++源代码是最常见的审计代码，因为许多高级语言（如Python）具有较少的潜在易受攻击的功能（例如，不检查边界的函数）。
代码审计工作利用一定的编程规范和标准，针对应用程序源代码，从结构、脆弱性以及缺陷等方面进行审查，以发现当前应用程序中存在的安全缺陷以及代码的规范性缺陷。
代码安全审计的目的在于提高软件系统的安全性，降低风险。具体而言，通过审计发现源代码层面的安全弱点，但不包含软件分析、设计、测试、应用部署等层面的安全弱点。需说明，鉴于安全漏洞形成的综合性和复杂性，源代码安全审计的弱点主要针对源代码层面风险和质量问题，以及规定形成漏洞的各种脆弱性因素。
 
代码审计工具
 
静态代码安全审计工具：DefenseCode ThunderScan、Checkmarx CxSuite、Fortify SCA 。
 Java：代码质量：findbugs；代码安全：findsecuritybugs
 下载地址：http://findbugs.sourceforge.net/downloads.html
 
漏洞扫描
 
 
漏洞检测可以分为对已知漏洞的检测和对未知漏洞的检测。
 
已知漏洞的检测主要是通过安全扫描技术，检测系统是否存在已公布的安全漏洞；而未知漏洞检测的目的在于发现软件系统中可能存在但尚未发现的漏洞。
 现有的未知漏洞检测技术有源代码扫描、反汇编扫描、环境错误注入等。
 1、源代码扫描
 源代码扫描主要针对开放源代码的程序，通过检查程序中不符合安全规则的文件结构、命名规则、函数、堆栈指针等，进而发现程序中可能隐含的安全缺陷。
 2、反汇编扫描
 反汇编扫描对于不公开源代码的程序来说往往是最有效的发现安全漏洞的办法。分析反汇编代码需要有丰富的经验，也可以使用辅助工具来帮助简化这个过程，但不可能有一种完全自动的工具来完成这个过程。
 3、环境错误注入
 由程序执行是一个动态过程这个特点，不难看出静态的代码扫描是不完备的。环境错误注入是一种比较成熟的软件测试方法，这种方法在协议安全测试等领域中都已经得到了广泛的应用。
 错误注入，即在软件运行的环境中故意注入人为的错误，并验证反应——这是验证计算机和软件系统的容错性、可靠性的一种有效方法。错误注入方法就是通过选择一个适当的错误模型试图触发程序中包含的安全漏洞。
 
 
漏洞扫描有以下四种检测技术：
 
1.基于应用的检测技术。它采用被动的、非破坏性的办法检查应用软件包的设置，发现安全漏洞。
 　　2.基于主机的检测技术。它采用被动的、非破坏性的办法对系统进行检测。通常，它涉及到系统的内核、文件的属性、操作系统的补丁等。这种技术还包括口令解密、把一些简单的口令剔除。因此，这种技术可以非常准确地定位系统的问题，发现系统的漏洞。它的缺点是与平台相关，升级复杂。
 　　3.基于目标的漏洞检测技术。它采用被动的、非破坏性的办法检查系统属性和文件属性，如数据库、注册号等。通过消息文摘算法，对文件的加密数进行检验。这种技术的实现是运行在一个闭环上，不断地处理文件、系统目标、系统目标属性，然后产生检验数，把这些检验数同原来的检验数相比较。一旦发现改变就通知管理员。
 　　4.基于网络的检测技术。它采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。它利用了一系列的脚本模拟对系统进行攻击的行为，然后对结果进行分析。它还针对已知的网络漏洞进行检验。网络检测技术常被用来进行穿透实验和安全审记。这种技术可以发现一系列平台的漏洞，也容易安装。但是，它可能会影响网络的性能。
 　　网络漏洞扫描
 　　在上述四种方式当中，网络漏洞扫描最为适合我们的Web信息系统的风险评估工作，其扫描原理和工作原理为：通过远程检测目标主机TCP/IP不同端口的服务，记录目标的回答。通过这种方法，可以搜集到很多目标主机的各种信息（例如：是否能用匿名登录，是否有可写的FTP目录，是否能用Telnet，http是否是用root在运行）。
 　　在获得目标主机TCP/IP端口和其对应的网络访问服务的相关信息后，与网络漏洞扫描系统提供的漏洞库进行匹配，如果满足匹配条件，则视为漏洞存在。此外，通过模拟黑客的进攻手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等，也是扫描模块的实现方法之一。如果模拟攻击成功，则视为漏洞存在。
 在匹配原理上，网络漏洞扫描器采用的是基于规则的匹配技术，即根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员关于网络系统安全配置的实际经验，形成一套标准的系统漏洞库，然后再在此基础之上构成相应的匹配规则，由程序自动进行系统漏洞扫描的分析工作。