ProHoster > Nnyocha adịghị ike na mmepe echedoro. Akụkụ 1

Nnyocha adịghị ike na mmepe echedoro. Akụkụ 1

Nnyocha adịghị ike na mmepe echedoro. Akụkụ 1

Dị ka akụkụ nke ọrụ aka ha, ndị mmepe, pentesters, na ndị ọkachamara nchekwa ga-emerịrị usoro dị ka Njikwa Vulnerability (VM), (Secure) SDLC.
N'okpuru nkebiokwu ndị a, e nwere ụdị omume na ngwa ọrụ dị iche iche ejikọtara ọnụ, n'agbanyeghị na ndị ọrụ ha dị iche.

Ọganihu teknụzụ erubeghị ebe otu ngwá ọrụ nwere ike dochie anya mmadụ iji nyochaa nchekwa nke akụrụngwa na ngwanrọ.
Ọ na-adọrọ mmasị ịghọta ihe mere nke a ji dị otú ahụ na nsogbu ndị mmadụ na-eche ihu.

Nhazi

Emebere usoro njikwa adịghị ike maka nleba anya na-aga n'ihu nke nchekwa akụrụngwa na njikwa patch.
Emebere usoro SDLC echekwara (“usoro mmepe echekwara”) iji dobe nchekwa ngwa n'oge mmepe na arụ ọrụ.

Otu akụkụ nke usoro ndị a bụ usoro nyocha ngwa ngwa - nleba anya adịghị ike, nyocha adịghị ike.
Isi ihe dị iche n'etiti nyocha VM na SDLC bụ na na nke mbụ ebumnuche bụ ịchọpụta adịghị ike ama ama na ngwanrọ ndị ọzọ ma ọ bụ nhazi. Dịka ọmụmaatụ, ụdị Windows emechiela ma ọ bụ eriri obodo ndabere maka SNMP.
N'okwu nke abụọ, ihe mgbaru ọsọ bụ ịchọpụta adịghị ike ọ bụghị naanị na akụkụ nke atọ (ndabere), mana nke bụ isi na koodu nke ngwaahịa ọhụrụ ahụ.

Nke a na-emepụta ọdịiche dị na ngwaọrụ na ụzọ. N'uche nke m, ọrụ nke ịchọta adịghị ike ọhụrụ na ngwa na-adọrọ mmasị karị, ebe ọ bụ na ọ naghị agbada na nsụgharị mkpịsị aka, ịnakọta ọkọlọtọ, okwuntughe na-amanye, wdg.
Maka nyocha akpaghị aka dị elu nke adịghị ike ngwa, a chọrọ algọridim nke na-eburu n'uche usoro ọmụmụ nke ngwa ahụ, ebumnuche ya na ihe egwu dị iche iche.

Enwere ike iji ihe ngụ oge dochie ihe nyocha akụrụngwa, dịka m si tinye ya avleonov. Isi ihe bụ na, naanị na ọnụ ọgụgụ, ị nwere ike ịtụle akụrụngwa gị adịghị ike ma ọ bụrụ na imelitebeghị ya, sịnụ, otu ọnwa.

Ngwaọrụ

Enwere ike ime nyocha, dị ka nyocha nchekwa, site na iji igbe ojii ma ọ bụ igbe ọcha.

Black Box

Mgbe nyocha blackbox, ngwá ọrụ ahụ ga-enwerịrị ike iji ọrụ ahụ rụọ ọrụ site n'otu ebe ndị ọrụ na-arụ ọrụ na ya.

Ihe nyocha akụrụngwa (Tenable Nessus, Qualys, MaxPatrol, Rapid7 Nexpose, wdg) na-achọ ọdụ ụgbọ mmiri mepere emepe, na-anakọta “ọkọlọtọ,” chọpụta ụdị ngwanrọ arụnyere, wee chọọ ntọala ihe ọmụma ha maka ozi gbasara adịghị ike na nsụgharị ndị a. Ha na-agbalịkwa ịchọpụta njehie nhazi dị ka okwuntughe ndabara ma ọ bụ nweta ohere data, SSL ciphers adịghị ike, wdg.

Ihe nyocha ngwa webụ (Acunetix WVS, Netsparker, Burp Suite, OWASP ZAP, wdg) nwekwara ike ịchọpụta ihe ndị ama ama na ụdị ha (dịka ọmụmaatụ, CMS, frameworks, JS ọba akwụkwọ). Isi nzọụkwụ nke nyocha ahụ na-arị arị ma na-afụ ụfụ.
Mgbe a na-akpụ akpụ, ihe nyocha na-anakọta ozi gbasara oghere ngwa dị adị yana paramita HTTP. N'oge mgbagwoju anya, a na-etinye data agbanwe agbanwe ma ọ bụ emepụtara n'ime paramita niile achọpụtara iji kpasuo njehie wee chọpụta adịghị ike.

Ụdị nyocha ngwa dị otú ahụ bụ nke klaasị DAST na IAST - Nnwale Nchekwa Ngwa dị ike na mmekọrịta, n'otu n'otu.

Igbe dị ọcha

Enwere ndịiche karịa na nyocha nke whitebox.
Dịka akụkụ nke usoro VM, a na-enyekarị ndị nyocha (Vulners, Couch Incsecurity, Vuls, Tenable Nessus, wdg) ohere ịnweta sistemụ site n'ịme nyocha nyocha. Yabụ, onye nyocha nwere ike budata ụdị ngwugwu arụnyere na paramita nhazi ozugbo na sistemụ, na-echeghị ha na ọkọlọtọ ọrụ netwọkụ.
Nyocha ahụ ziri ezi ma zuo oke.

Ọ bụrụ na anyị na-ekwu maka nyocha igbe whitebox (CheckMarx, HP Fortify, Coverity, RIPS, FindSecBugs, wdg) nke ngwa, mgbe ahụ anyị na-ekwukarị maka nyocha koodu static na iji ngwaọrụ kwesịrị ekwesị nke klas SAST - Static Application Security Testing.

Nsogbu

Enwere ọtụtụ nsogbu na nyocha! M ga-emeso ọtụtụ n'ime ha n'onwe ya dị ka akụkụ nke inye ọrụ maka ụlọ nyocha na usoro mmepe nchekwa, yana mgbe ị na-arụ ọrụ nyocha nchekwa.

M ga-egosipụta 3 isi nsogbu nke nsogbu, nke a kwadoro site na mkparịta ụka na ndị injinia na ndị isi nke ọrụ nchekwa ozi na ụlọ ọrụ dị iche iche.

Okwu nyocha ngwa weebụ

  1. Ihe isi ike nke mmejuputa iwu. Ekwesịrị ibuga ndị nyocha, hazie, ahaziri maka ngwa ọ bụla, kenye ebe nnwale maka nyocha ma tinye ya na usoro CI/CD maka nke a ka ọ dị irè. Ma ọ bụghị ya, ọ ga-abụ usoro na-abaghị uru nke ga-eme ka ọ pụta ìhè
  2. Ogologo oge nyocha. Ọbụlagodi na 2019, ndị na-enyocha nyocha na-arụ ọrụ na-adịghị mma nke ịkọwapụta interfaces ma nwee ike were ụbọchị nyocha otu puku peeji nke nwere paramita 10 na nke ọ bụla, na-atụle ha dị iche iche, n'agbanyeghị na otu koodu ahụ na-ahụ maka ha. N'otu oge ahụ, a ghaghị ime mkpebi maka ntinye aka na mmepụta n'ime usoro mmepe ngwa ngwa
  3. Ndụmọdụ ndị dara ogbenye. Ndị na-enyocha nyocha na-enye ndụmọdụ n'ozuzu, na onye mmepụta enweghị ike ịghọta ngwa ngwa site na ha ka esi ebelata ọkwa nke ihe ize ndụ, na nke kachasị mkpa, ma ọ dị mkpa ka e mee ya ugbu a, ma ọ bụ na ọ bụghị egwu.
  4. Mmetụta na-emebi emebi na ngwa ahụ. Ndị nyocha nwere ike ibuso ọgụ DoS na ngwa, ma nwee ike ịmepụta ọnụ ọgụgụ buru ibu nke ụlọ ọrụ ma ọ bụ gbanwee ndị dị adị (dịka ọmụmaatụ, mepụta ọtụtụ iri puku kwuru na blọọgụ), yabụ ịkwesighi ịmalite nyocha n'echeghị echiche na mmepụta.
  5. Ọdịmma dị ala nke nchọpụta adịghị ike. Ndị na-enyocha ihe na-ejikarị ọtụtụ ụgwọ akwụ ụgwọ a kapịrị ọnụ ma nwee ike tufuo adịghị ike nke na-adabaghị na ọnọdụ omume amaara ngwa ahụ.
  6. Ihe nyocha anaghị aghọta ọrụ ngwa ahụ. Ndị nyocha n'onwe ha amaghị ihe "Internet banking", "ụgwọ", "okwu" bụ. Maka ha, enwere naanị njikọ na paramita, yabụ, a na-ekpughere nnukwu oghere nke ọghọm azụmaahịa azụmaahịa kpamkpam; ha agaghị eche echiche ime idegharị ugboro abụọ, inyocha data onye ọzọ site na ID, ma ọ bụ ịbawanye nguzozi site na ịgbagharị.
  7. Ihe nyocha anaghị aghọta semantics nke ibe. Ndị nyocha enweghị ike ịgụ FAQ, ha enweghị ike ịmata captchas, na n'onwe ha, ha agaghị achọpụta ka esi edebanye aha wee banyeghachi, na ị nweghị ike pịa “pụọ,” yana otu esi edebanye aha mgbe ị na-agbanwe oke. ụkpụrụ. N'ihi ya, ọtụtụ n'ime ngwa a nwere ike ọ gaghị enyocha ya ma ọlị.

Nsogbu nyocha koodu isi mmalite

  1. Echiche ụgha. Ntụle static bụ ọrụ dị mgbagwoju anya nke na-agụnye ọtụtụ azụmaahịa. A ghaghị ịchụ ihe ziri ezi n'àjà mgbe mgbe, na ọbụna ihe nyocha ụlọ ọrụ dị oké ọnụ ahịa na-emepụta ọnụ ọgụgụ dị ukwuu nke ụgha
  2. Ihe isi ike nke mmejuputa iwu. Iji mee ka izi ezi na izu ezu nke nyocha static, ọ dị mkpa iji nụchaa iwu nyocha, na ide iwu ndị a nwere ike ịdị oke ọrụ. Mgbe ụfọdụ ọ na-adị mfe ịchọta ebe niile dị na koodu ahụ nwere ụdị ahụhụ ma dozie ha karịa ide iwu iji chọpụta ụdị ikpe ahụ.
  3. Enweghị nkwado ndabere. Nnukwu oru ngo na-adabere na ọnụ ọgụgụ buru ibu nke ọba akwụkwọ na frameworks na-agbatị ike nke mmemme asụsụ. Ọ bụrụ na isi ihe ọmụma nke nyocha enweghị ozi gbasara "sinks" na usoro ndị a, ọ ga-abụ ntụpọ kpuru na nyocha ahụ agaghị aghọta ọbụna koodu ahụ.
  4. Ogologo oge nyocha. Ịchọta adịghị ike na koodu bụ ọrụ dị mgbagwoju anya na usoro nke algọridim. Ya mere, usoro a nwere ike were ogologo oge ma chọọ akụrụngwa mgbako dị mkpa.
  5. Mkpuchi dị ala. N'agbanyeghị oriri akụrụngwa na oge nyocha, ndị nrụpụta ngwaọrụ SAST ka ga-eme nkwekọrịta ma nyochaa ọ bụghị steeti niile nwere ike ịdị na mmemme ahụ.
  6. Reproducibility nke nchoputa. Ịtụ aka na ahịrị a kapịrị ọnụ na nchịkọta oku nke na-eduga na adịghị ike dị ukwuu, ma n'eziokwu, mgbe mgbe nyocha ahụ adịghị enye ozi zuru ezu iji chọpụta ọnụnọ nke adịghị ike site n'èzí. A sị ka e kwuwe, ntụpọ ahụ nwekwara ike ịdị na koodu nwụrụ anwụ, nke a na-apụghị ịchọta maka onye na-awakpo

Nsogbu nyocha akụrụngwa

  1. Ngwaahịa ezughi oke. N'ime akụrụngwa buru ibu, ọkachasị ndị kewapụrụ na mpaghara ala, ọ na-abụkarị ihe siri ike ịmata ndị ọbịa ị ga-enyocha. N'ikwu ya n'ụzọ ọzọ, ọrụ nyocha ahụ nwere njikọ chiri anya na ọrụ njikwa akụ
  2. Ndokwa nke ọma. Igwe nyocha netwọkụ na-arụpụta ọtụtụ nsonaazụ na ntụpọ ndị a na-enweghị ike iji ya mee ihe na omume, mana n'ụzọ nkịtị ọkwa ha nwere ike dị elu. Onye na-azụ ahịa na-anata akụkọ siri ike ịtụgharị uche, ma amabeghị ihe kwesịrị ibu ụzọ mezie.
  3. Ndụmọdụ ndị dara ogbenye. Ebe ihe ọmụma nke nyocha nyocha na-enwekarị naanị ozi zuru oke gbasara adịghị ike yana otu esi edozi ya, yabụ ndị admins ga-eji Google jiri aka ha kee onwe ha. Ọnọdụ ahụ dị ntakịrị mma na nyocha nke whitebox, nke nwere ike ịnye otu iwu iji dozie
  4. Ejiri aka mee. Akụrụngwa nwere ike ịnwe ọtụtụ oghere, nke pụtara nwere ike inwe ọtụtụ ntụpọ, akụkọ nke a ga-enyocharịrị ma jiri aka nyochaa ya n'oge ọ bụla.
  5. Mkpuchi na-adịghị mma. Ogo nke nyocha akụrụngwa na-adabere ozugbo n'ogo ebe ihe ọmụma gbasara adịghị ike na ụdị ngwanrọ. N'ime ya, tụgharịrị, Ọbụna ndị isi ahịa enweghị isi ihe ọmụma zuru oke, na ọdụ data nke ngwọta n'efu nwere ọtụtụ ozi ndị isi na-enweghị.
  6. Nsogbu na patching. Ọtụtụ mgbe, ịmachi adịghị ike akụrụngwa gụnyere imelite ngwugwu ma ọ bụ ịgbanwe faịlụ nhazi. Nsogbu buru ibu ebe a bụ na sistemụ, ọkachasị ihe nketa, nwere ike ịkpa agwa n'atụghị egwu n'ihi mmelite. N'ikpeazụ, ị ga-eme ule ntinye aka na akụrụngwa ndụ na mmepụta.

Ụzọ nso

Kedu ka esi eme?
M ga-agwa gị ọzọ gbasara ihe atụ na otu esi edozi ọtụtụ nsogbu ndị edepụtara na akụkụ ndị a, ma ugbu a, m ga-egosi isi ntụziaka nke ị nwere ike ịrụ ọrụ:

  1. Nchịkọta ngwaọrụ nyocha dị iche iche. Site n'iji ezigbo nyocha nke ọtụtụ nyocha, ị nwere ike nweta mmụba dị ịrịba ama na isi ihe ọmụma na àgwà nke nchọpụta ahụ. Ị nwere ike ịchọta ọbụna adịghị ike karịa mkpokọta nyocha niile ewepụtara iche iche, ebe ị nwere ike nyochaa nke ọma n'ogo nke ihe ize ndụ ma na-atụ aro ndị ọzọ.
  2. Njikọ nke SAST na DAST. Ọ ga-ekwe omume ịbawanye mkpuchi DAST na izi ezi nke SAST site n'ịgbanwe ozi n'etiti ha. Site na isi mmalite ị nwere ike nweta ozi gbasara ụzọ ndị dị ugbu a, yana iji DAST ị nwere ike lelee ma enwere ike ịhụ adịghị ike ahụ site na mpụga.
  3. Ịmụ igwe. Na 2015 I gwara (na ọzọ) gbasara iji ọnụ ọgụgụ na-enye ndị na-enyocha nyocha echiche hacker wee mee ka ha dị ngwa. Nke a bụ nnọọ nri nri maka mmepe nke nyocha nchekwa akpaaka n'ọdịnihu.
  4. Njikọ nke IAST na autotests na OpenAPI. N'ime pipeline CI/CD, ọ ga-ekwe omume ịmepụta usoro nyocha dabere na ngwaọrụ ndị na-arụ ọrụ dị ka proxy HTTP na ule ọrụ na-arụ ọrụ na HTTP. Nnwale OpenAPI/Swagger na nkwekọrịta ga-enye onye nyocha ihe na-efu ozi gbasara ọsọ data wee mee ka o kwe omume inyocha ngwa ahụ na steeti dị iche iche.
  5. Nhazi ziri ezi. Maka ngwa na akụrụngwa ọ bụla, ịkwesịrị ịmepụta profaịlụ nyocha kwesịrị ekwesị, na-eburu n'uche ọnụọgụ na ọdịdị nke ihu na teknụzụ ejiri.
  6. Nhazi nke nyocha. Ọtụtụ mgbe enweghị ike inyocha ngwa na-agbanweghị ihe nyocha. Otu ihe atụ bụ ọnụ ụzọ ịkwụ ụgwọ, nke a ga-edebanyerịrị arịrịọ ọ bụla. Na-edeghị njikọ na protocol ọnụ ụzọ ámá, ndị na-enyocha nyocha ga-eji mbinye aka na-ezighi ezi tinye arịrịọ n'echeghị echiche. Ọ dịkwa mkpa ide ihe nyocha pụrụ iche maka otu ụdị ntụpọ, dị ka Ntụnye Ihe Na-ezighi ezi
  7. Njikwa ihe egwu. Ojiji nke nyocha dị iche iche na ntinye aka na usoro mpụga dị ka njikwa akụ na njikwa egwu ga-ekwe ka iji ọtụtụ paramita nyochaa ọkwa nke ihe ize ndụ, ka njikwa wee nweta nkọwa zuru oke banyere ọnọdụ nchekwa ugbu a nke mmepe ma ọ bụ akụrụngwa.

Nọrọ na nche ka anyị kpasasịa nyocha ihe adịghị ike!

isi: www.habr.com

Tinye a comment