在很多网站系统构建的一开始,最注重的就是网站程序代码的安全,我们SINE安全对
甲方网站公司部署过很多的网站安全系统,之前有一些网站设计公司对于每个项目都会由专
人去负责开发与设计,并与甲方网站公司进行沟通,每个技术的开发水平都不一样,有些网
站技术有着十几年的开发经验,有的技术可能只有三四年的开发经验,所以开发出来的网站
也都会有网站漏洞,比如:SQL注入漏洞,XSS跨站漏洞,远程命令执行漏洞,CSRF劫持漏
洞,远程包含文件漏洞。
有些甲方公司根本无法修复网站的漏洞,只会设计网站的功能,以及设计网站的外观,甚至有
些公司对外称有自己的安全工程师,但是安全工程师的工作效率也是有限的,基本有经验的安
全工程师也都在大公司里,像百度,阿里云,腾讯,等等公司里。
我们SINE安全针对于客户网站的安全问题,开发了一套自有主权的网站代码安全审计系统,使
用的是python开发,队列使用开源的redis+celery,后端的代码安全设计,以及代码漏洞库使用
的是我们多年内积累下来的漏洞规则库。
用的是python开发,队列使用开源的redis+celery,后端的代码安全设计,以及代码漏洞库使用
的是我们多年内积累下来的漏洞规则库。
首先我们的网站代码安全审计系统架构,分报告生成图表,以及网站安全扫描,网站漏洞的详情
。网站安全报告生成图表,使用的是echarts进行全图渲染然后从数据库中查询数据,调用并生成
网站安全图表,包括网站安全的周报,安全月报,安全年报,图表中还会显示网站漏洞的趋势,
网站高危漏洞的个数。如下图:再一个就是网站安全扫描,我们SINE安全在设计网站代码安全审
计系统的时候,考虑到在对网站进行扫描的时候,是否需要直接调用我们的漏洞库规则,再三考
虑还是直接调用数据库里的漏洞规则,对网站安全进行扫描,网站安全扫描功能分单独的文件代
码安全扫描,一个是整个网站的安全扫描。我们针对于java开发的网站,会提供svn文件安全扫
描,直接上传svn就会对整个网站代码进行安全扫描了。还有网站代码压缩包安全扫描。
。网站安全报告生成图表,使用的是echarts进行全图渲染然后从数据库中查询数据,调用并生成
网站安全图表,包括网站安全的周报,安全月报,安全年报,图表中还会显示网站漏洞的趋势,
网站高危漏洞的个数。如下图:再一个就是网站安全扫描,我们SINE安全在设计网站代码安全审
计系统的时候,考虑到在对网站进行扫描的时候,是否需要直接调用我们的漏洞库规则,再三考
虑还是直接调用数据库里的漏洞规则,对网站安全进行扫描,网站安全扫描功能分单独的文件代
码安全扫描,一个是整个网站的安全扫描。我们针对于java开发的网站,会提供svn文件安全扫
描,直接上传svn就会对整个网站代码进行安全扫描了。还有网站代码压缩包安全扫描。
网站漏洞详情
网站漏洞详情是针对于扫描出来的漏洞进行详细的说明,以及网站漏洞个数,扫描出来的网站漏
洞是属于高危,还是中危,低危的漏洞,利用我们SINE安全的漏洞库会直接显示出该网站存在哪
些代码的漏洞,直接修复漏洞即可。漏洞显示的标题,以及网站漏洞详情描述,网站漏洞修复建
议,都会在网站代码安全审计系统显示出来,方便客户对网站漏洞进行了解,并漏洞修复。
洞是属于高危,还是中危,低危的漏洞,利用我们SINE安全的漏洞库会直接显示出该网站存在哪
些代码的漏洞,直接修复漏洞即可。漏洞显示的标题,以及网站漏洞详情描述,网站漏洞修复建
议,都会在网站代码安全审计系统显示出来,方便客户对网站漏洞进行了解,并漏洞修复。
最后对于网站代码安全审计系统,我要必要跟大家说一下,有了这套系统会对网站安全更加直观
的分析,并对检测出来的漏洞也可以直接修复,对网站的安全稳定运行提供了强有劲的支持。后
期开发会针对于客户的网站进行定期的网站代码安全审计,对网站进行漏洞检测,发现有新的漏
洞直接邮件提醒客户。
的分析,并对检测出来的漏洞也可以直接修复,对网站的安全稳定运行提供了强有劲的支持。后
期开发会针对于客户的网站进行定期的网站代码安全审计,对网站进行漏洞检测,发现有新的漏
洞直接邮件提醒客户。
