Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

网站代码安全审计系统的构建



           在很多网站系统构建的一开始,最注重的就是网站程序代码的安全,我们SINE安全对

甲方网站公司部署过很多的网站安全系统,之前有一些网站设计公司对
于每个项目都会由专

人去负责开发与设计,并与甲方网站公司进行沟通,每个技术
的开发水平都不一样,有些网

站技术有着十几年的开发经验,有的技术可能只有三
四年的开发经验,所以开发出来的网站

也都会有网站漏洞,比如:SQL注入漏洞,
XSS跨站漏洞,远程命令执行漏洞,CSRF劫持漏

洞,远程包含文件漏洞。




有些甲方公司根本无法修复网站的漏洞,只会设计网站的功能,以及设计网站的外观,甚至有

些公司对外称有自己的安全工程师,但是安全工程师的工作效率也是有
限的,基本有经验的安

全工程师也都在大公司里,像百度,阿里云,腾讯,等等公
司里。
 

 
我们SINE安全针对于客户网站的安全问题,开发了一套自有主权的网站代码安全审计系统,使

用的是python开发,队列使用开源的redis+celery,后端的代码安全设
计,以及代码漏洞库使用

的是我们多年内积累下来的漏洞规则库。

 
首先我们的网站代码安全审计系统架构,分报告生成图表,以及网站安全扫描,网站漏洞的详情

。网站安全报告生成图表,使用的是echarts进行全图渲染然后从数
据库中查询数据,调用并生成

网站安全图表,包括网站安全的周报,安全月报,安
全年报,图表中还会显示网站漏洞的趋势,

网站高危漏洞的个数。如下图:
再一个就是网站安全扫描,我们SINE安全在设计网站代码安全审

计系统的时候,考
虑到在对网站进行扫描的时候,是否需要直接调用我们的漏洞库规则,再三考

虑还
是直接调用数据库里的漏洞规则,对网站安全进行扫描,网站安全扫描功能分单独的文件代

码安全扫描,一个是整个网站的安全扫描。我们针对于java开发的网站,
会提供svn文件安全扫

描,直接上传svn就会对整个网站代码进行安全扫描了。还有
网站代码压缩包安全扫描。
 
网站漏洞详情
 
网站漏洞详情是针对于扫描出来的漏洞进行详细的说明,以及网站漏洞个数,扫描出来的网站漏

洞是属于高危,还是中危,低危的漏洞,利用我们SINE安全的漏洞库
会直接显示出该网站存在哪

些代码的漏洞,直接修复漏洞即可。漏洞显示的标题,
以及网站漏洞详情描述,网站漏洞修复建

议,都会在网站代码安全审计系统显示出
来,方便客户对网站漏洞进行了解,并漏洞修复。
 
最后对于网站代码安全审计系统,我要必要跟大家说一下,有了这套系统会对网站安全更加直观

的分析,并对检测出来的漏洞也可以直接修复,对网站的安全稳定运
行提供了强有劲的支持。后

期开发会针对于客户的网站进行定期的网站代码安全审
计,对网站进行漏洞检测,发现有新的漏

洞直接邮件提醒客户。
分享: