代碼審計的常用思路是什么

代碼審計的常用思路：

• 接口排查（“正向追蹤”）：先找出從外部接口接收的參數，并跟蹤其傳遞過程，觀察是否有參數校驗不嚴的變量傳入高危方法中，或者在傳遞的過程中是否有代碼邏輯漏洞（為了提高排查的全面性，代碼審計人員可以向研發人員索要接口清單）。

• 危險方法溯源（“逆向追蹤”）：檢查敏感方法的參數，并查看參數的傳遞與處理，判斷變量是否可控并且已經過嚴格的過濾。

• 功能點定向審計：根據經驗判斷該類應用通常會在哪些功能中出現漏洞，直接審計該類功能的代碼。

• 第三方組件、中間件版本比對：檢查Web應用所使用的第三方組件或中間件的版本是否受到已知漏洞的影響。

• 補丁比對：通過對補丁做比對，反推漏洞出處。

• “黑盒測試”+“白盒測試”：我認為“白盒測試少直覺，黑盒測試難入微”。雖然代碼審計的過程須以“白盒測試”為主，但是在過程中輔以“黑盒測試”將有助于快速定位到接口或做更全面的分析判斷。交互式應用安全測試技術IAST就結合了“黑盒測試”與“白盒測試”的特點。

• “代碼靜態掃描工具”+“人工研判”：對于某些漏洞，使用代碼靜態掃描工具代替人工漏洞挖掘可以顯著提高審計工作的效率。然而，代碼靜態掃描工具也存在“誤報率高”等缺陷，具體使用時往往需要進一步研判。

• 開發框架安全審計：審計Web應用所使用的開發框架是否存在自身安全性問題，或者由于用戶使用不當而引發的安全風險。

回答所涉及的環境：聯想天逸510S、Windows 10。