背景介绍

● 本次合作的客户主要做采购服务，专注于为年采购额一亿以上企业提供采购咨询、采购软件、采购平台运营等服务，同时还可为用户提供系统开发服务。客户自有产品系统可以为用户实现从采购主数据、供应商管理、采购计划、招标比价、合同管理、收发货管理、付款管理的全流程支持，支持多种交付模式，其拥有几十余项采购软件著作权。

项目需求

●业务安全需求：开展本次合作是因为客户给甲方开发了一个系统，客户甲方要用这个系统做等保，等保整改其中一项需要提供代码审计报告，客户甲方临时要他们出具代码审计报告，导致本次合作时间紧迫。

●安全业务需求：客户甲方为确保等级保护测评工作的正常进行，依照等保要求来进行代码审计工作，实际进行安全检测从而提供一份完整的代码审计报告。

项目内容

依据客户及客户甲方的实际需求，确定对目标系统开展代码审计工作。

用户系统：XXX电子商务平台

解决方案：天磊卫士安全团队对该平台进行代码审计工作，由具备天磊卫士安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。

服务交付成果：《代码审计报告》

项目成果：本次安全检测发现两个低风险漏洞、一个高危漏洞，其中低危漏洞为用户名枚举和错误页面信息返回，高危漏洞为存储型XSS。

1、用户枚举

登录界面可以枚举出系统的用户名，进而对用户名进行针对性的爆破。

2、错误页面信息返回

初始错误页面返回中会带有调试信息或者错误堆栈信息，攻击者可以从中获取网站部分架构信息，进行下一步攻击。

3、存储型XSS

XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。

针对以上漏洞，天磊卫士安全团队协助客户对其进行了修复，代码中不包含后门、隐蔽通道和高危漏洞。

安全建议

● 定期进行代码抽样审计

虽然在本次代码审计中发现了问题，仍然建议企业定期进行类似的安全抽样审计，保障不断发展的动态网络的持续安全。

● 系统上线前进行全面检测

在网站新上线或是部分功能更新时，建议进行全面的测试，确保无问题后再在正式环境中上线使用。

● 制定完善的开发文档

应该为网站制定完善的开发文档，不建议在开发过程中实现开发文档要求以外的功能，应该注重并严格遵守以下几方面内容：输入输出实现、程序变更准则、修改程序代码准则、程序验证准则、功能需求。

软件开发商在开发系统过程中应将网络安全问题考虑在内，为了后续工作方便，有必要时，交付系统前应对其进行安全检测，查找系统中是否存在中高危漏洞，以便及时修复整改。

天磊卫士 代码审计服务

源代码审计工作通过分析当前应用系统的源代码，熟悉业务系统，从应用系统结构方面检查其各模块和功能之间的关联、权限验证等内容；从安全性方面检查其脆弱性和缺陷。在明确当前安全现状和需求的情况下，对下一步的编码安全规范性建设有重大的意义。