在很多网站系统构建的一开始,最注重的就是网站程序代码的安全,我们SINE安全对甲方网站公司部署过很多的网站安全系统,之前有一些网站设计公司对于每个项目都会由专人去负责开发与设计,并与甲方网站公司进行沟通,每个技术的开发水平都不一样,有些网站技术有着十几年的开发经验,有的技术可能只有三四年的开发经验,所以开发出来的网站也都会有网站漏洞,比如:SQL注入漏洞,XSS跨站漏洞,远程命令执行漏洞,CSRF劫持漏洞,远程包含文件漏洞。
有些甲方公司根本无法修复网站的漏洞,只会设计网站的功能,以及设计网站的外观,甚至有些公司对外称有自己的安全工程师,但是安全工程师的工作效率也是有限的,基本有经验的安全工程师也都在大公司里,像百度,阿里云,腾讯,等等公司里。
我们SINE安全针对于客户网站的安全问题,开发了一套自有主权的网站代码安全审计系统,使用的是python开发,队列使用开源的redis+celery,后端的代码安全设计,以及代码漏洞库使用的是我们多年内积累下来的漏洞规则库。
首先我们的网站代码安全审计系统架构,分报告生成图表,以及网站安全扫描,网站漏洞的详情。网站安全报告生成图表,使用的是echarts进行全图渲染然后从数据库中查询数据,调用并生成网站安全图表,包括网站安全的周报,安全月报,安全年报,图表中还会显示网站漏洞的趋势,网站高危漏洞的个数。如下图:再一个就是网站安全扫描,我们SINE安全在设计网站代码安全审计系统的时候,考虑到在对网站进行扫描的时候,是否需要直接调用我们的漏洞库规则,再三考虑还是直接调用数据库里的漏洞规则,对网站安全进行扫描,网站安全扫描功能分单独的文件代码安全扫描,一个是整个网站的安全扫描。我们针对于java开发的网站,会提供svn文件安全扫描,直接上传svn就会对整个网站代码进行安全扫描了。还有网站代码压缩包安全扫描。
网站漏洞详情
网站漏洞详情是针对于扫描出来的漏洞进行详细的说明,以及网站漏洞个数,扫描出来的网站漏洞是属于高危,还是中危,低危的漏洞,利用我们SINE安全的漏洞库会直接显示出该网站存在哪些代码的漏洞,直接修复漏洞即可。漏洞显示的标题,以及网站漏洞详情描述,网站漏洞修复建议,都会在网站代码安全审计系统显示出来,方便客户对网站漏洞进行了解,并漏洞修复。
最后对于网站代码安全审计系统,我要必要跟大家说一下,有了这套系统会对网站安全更加直观的分析,并对检测出来的漏洞也可以直接修复,对网站的安全稳定运行提供了强有劲的支持。后期开发会针对于客户的网站进行定期的网站代码安全审计,对网站进行漏洞检测,发现有新的漏洞直接邮件提醒客户。
