基于代码审计的Web应用安全性测试技术研究

随着国家积极推进重要信息系统的等级保护建设,各行业关键业务系统均已满足等级保护较高等级的要求,并且在符合率上保持着比较高的水平。但是,在相关漏洞共享网站上,部分政府、银行等重要信息系统仍被不断曝出存在较多高风险漏洞。本文重点研究手工代码审查+自动审查工具对网站代码进行设计,旨在衡量Web应用程序的手工代码审查对提高其安全性的有效性。我们借用了多名开发人员来对Web应用进行安全性审核,他们被要求对应用程序进行逐行代码审查,并提交发现的所有安全漏洞的报告,同时对自动审计工具进行对比。