ಪ್ರೊಹೋಸ್ಟರ್ > ದುರ್ಬಲತೆ ಸ್ಕ್ಯಾನಿಂಗ್ ಮತ್ತು ಸುರಕ್ಷಿತ ಅಭಿವೃದ್ಧಿ. ಭಾಗ 1

ದುರ್ಬಲತೆ ಸ್ಕ್ಯಾನಿಂಗ್ ಮತ್ತು ಸುರಕ್ಷಿತ ಅಭಿವೃದ್ಧಿ. ಭಾಗ 1

ದುರ್ಬಲತೆ ಸ್ಕ್ಯಾನಿಂಗ್ ಮತ್ತು ಸುರಕ್ಷಿತ ಅಭಿವೃದ್ಧಿ. ಭಾಗ 1

ತಮ್ಮ ವೃತ್ತಿಪರ ಚಟುವಟಿಕೆಗಳ ಭಾಗವಾಗಿ, ಡೆವಲಪರ್‌ಗಳು, ಪೆಂಟೆಸ್ಟರ್‌ಗಳು ಮತ್ತು ಭದ್ರತಾ ವೃತ್ತಿಪರರು ದುರ್ಬಲತೆ ನಿರ್ವಹಣೆ (VM), (ಸುರಕ್ಷಿತ) SDLC ಯಂತಹ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಎದುರಿಸಬೇಕಾಗುತ್ತದೆ.
ಈ ಪದಗುಚ್ಛಗಳ ಕೆಳಗೆ ವಿವಿಧ ರೀತಿಯ ಅಭ್ಯಾಸಗಳು ಮತ್ತು ಪರಿಕರಗಳನ್ನು ಬಳಸಲಾಗುತ್ತದೆ, ಅವುಗಳು ಹೆಣೆದುಕೊಂಡಿವೆ, ಆದಾಗ್ಯೂ ಅವರ ಬಳಕೆದಾರರು ಭಿನ್ನವಾಗಿರುತ್ತವೆ.

ಮೂಲಸೌಕರ್ಯ ಮತ್ತು ಸಾಫ್ಟ್‌ವೇರ್‌ನ ಸುರಕ್ಷತೆಯನ್ನು ವಿಶ್ಲೇಷಿಸಲು ಒಂದು ಸಾಧನವು ವ್ಯಕ್ತಿಯನ್ನು ಬದಲಿಸುವ ಹಂತವನ್ನು ತಾಂತ್ರಿಕ ಪ್ರಗತಿಯು ಇನ್ನೂ ತಲುಪಿಲ್ಲ.
ಇದು ಏಕೆ ಮತ್ತು ಯಾವ ಸಮಸ್ಯೆಗಳನ್ನು ಎದುರಿಸುತ್ತಿದೆ ಎಂಬುದನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು ಆಸಕ್ತಿದಾಯಕವಾಗಿದೆ.

ಪ್ರಕ್ರಿಯೆಗಳು

ದುರ್ಬಲತೆ ನಿರ್ವಹಣೆ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಮೂಲಸೌಕರ್ಯ ಭದ್ರತೆ ಮತ್ತು ಪ್ಯಾಚ್ ನಿರ್ವಹಣೆಯನ್ನು ನಿರಂತರವಾಗಿ ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ.
ಅಭಿವೃದ್ಧಿ ಮತ್ತು ಕಾರ್ಯಾಚರಣೆಯ ಸಮಯದಲ್ಲಿ ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತೆಯನ್ನು ನಿರ್ವಹಿಸಲು ಸುರಕ್ಷಿತ SDLC ಪ್ರಕ್ರಿಯೆ ("ಸುರಕ್ಷಿತ ಅಭಿವೃದ್ಧಿ ಚಕ್ರ") ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ.

ಈ ಪ್ರಕ್ರಿಯೆಗಳ ಇದೇ ಭಾಗವು ದುರ್ಬಲತೆಯ ಮೌಲ್ಯಮಾಪನ ಪ್ರಕ್ರಿಯೆಯಾಗಿದೆ - ದುರ್ಬಲತೆಯ ಮೌಲ್ಯಮಾಪನ, ದುರ್ಬಲತೆ ಸ್ಕ್ಯಾನಿಂಗ್.
VM ಮತ್ತು SDLC ಒಳಗೆ ಸ್ಕ್ಯಾನಿಂಗ್ ನಡುವಿನ ಪ್ರಮುಖ ವ್ಯತ್ಯಾಸವೆಂದರೆ ಮೊದಲ ಸಂದರ್ಭದಲ್ಲಿ, ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಸಾಫ್ಟ್‌ವೇರ್ ಅಥವಾ ಕಾನ್ಫಿಗರೇಶನ್‌ನಲ್ಲಿ ತಿಳಿದಿರುವ ದೋಷಗಳನ್ನು ಕಂಡುಹಿಡಿಯುವುದು ಗುರಿಯಾಗಿದೆ. ಉದಾಹರಣೆಗೆ, ವಿಂಡೋಸ್‌ನ ಹಳೆಯ ಆವೃತ್ತಿ ಅಥವಾ SNMP ಗಾಗಿ ಡೀಫಾಲ್ಟ್ ಸಮುದಾಯ ಸ್ಟ್ರಿಂಗ್.
ಎರಡನೆಯ ಪ್ರಕರಣದಲ್ಲಿ, ಮೂರನೇ-ಪಕ್ಷದ ಘಟಕಗಳಲ್ಲಿ (ಅವಲಂಬನೆಗಳು) ಮಾತ್ರವಲ್ಲದೆ ಪ್ರಾಥಮಿಕವಾಗಿ ಹೊಸ ಉತ್ಪನ್ನದ ಕೋಡ್‌ನಲ್ಲಿ ದುರ್ಬಲತೆಗಳನ್ನು ಕಂಡುಹಿಡಿಯುವುದು ಗುರಿಯಾಗಿದೆ.

ಇದು ಉಪಕರಣಗಳು ಮತ್ತು ವಿಧಾನಗಳಲ್ಲಿ ವ್ಯತ್ಯಾಸಗಳನ್ನು ಉಂಟುಮಾಡುತ್ತದೆ. ನನ್ನ ಅಭಿಪ್ರಾಯದಲ್ಲಿ, ಅಪ್ಲಿಕೇಶನ್‌ನಲ್ಲಿ ಹೊಸ ದೋಷಗಳನ್ನು ಕಂಡುಹಿಡಿಯುವ ಕಾರ್ಯವು ಹೆಚ್ಚು ಆಸಕ್ತಿದಾಯಕವಾಗಿದೆ, ಏಕೆಂದರೆ ಇದು ಆವೃತ್ತಿಯ ಫಿಂಗರ್‌ಪ್ರಿಂಟಿಂಗ್, ಬ್ಯಾನರ್ ಸಂಗ್ರಹಣೆ, ಪಾಸ್‌ವರ್ಡ್ ಬ್ರೂಟ್ ಫೋರ್ಸ್ ಇತ್ಯಾದಿಗಳಿಗೆ ಬರುವುದಿಲ್ಲ.
ಅಪ್ಲಿಕೇಶನ್ ದೋಷಗಳ ಉನ್ನತ-ಗುಣಮಟ್ಟದ ಸ್ವಯಂಚಾಲಿತ ಸ್ಕ್ಯಾನಿಂಗ್‌ಗೆ ಅಪ್ಲಿಕೇಶನ್‌ನ ಶಬ್ದಾರ್ಥಗಳು, ಅದರ ಉದ್ದೇಶ ಮತ್ತು ನಿರ್ದಿಷ್ಟ ಬೆದರಿಕೆಗಳನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಳ್ಳುವ ಅಲ್ಗಾರಿದಮ್‌ಗಳ ಅಗತ್ಯವಿದೆ.

ಇನ್ಫ್ರಾಸ್ಟ್ರಕ್ಚರ್ ಸ್ಕ್ಯಾನರ್ ಅನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ಟೈಮರ್ನೊಂದಿಗೆ ಬದಲಾಯಿಸಬಹುದು ಅವ್ಲಿಯೊನೊವ್. ಪಾಯಿಂಟ್ ಏನೆಂದರೆ, ಸಂಪೂರ್ಣವಾಗಿ ಸಂಖ್ಯಾಶಾಸ್ತ್ರೀಯವಾಗಿ, ನೀವು ಒಂದು ತಿಂಗಳ ಕಾಲ ಅದನ್ನು ನವೀಕರಿಸದಿದ್ದರೆ ನಿಮ್ಮ ಮೂಲಸೌಕರ್ಯವನ್ನು ದುರ್ಬಲ ಎಂದು ಪರಿಗಣಿಸಬಹುದು.

ಪರಿಕರಗಳು

ಸ್ಕ್ಯಾನಿಂಗ್, ಹಾಗೆಯೇ ಭದ್ರತಾ ವಿಶ್ಲೇಷಣೆಯನ್ನು ಕಪ್ಪು ಪೆಟ್ಟಿಗೆ ಅಥವಾ ಬಿಳಿ ಪೆಟ್ಟಿಗೆಯಾಗಿ ನಿರ್ವಹಿಸಬಹುದು.

ಕಪ್ಪು ಪೆಟ್ಟಿಗೆ

ಬ್ಲ್ಯಾಕ್‌ಬಾಕ್ಸ್ ಸ್ಕ್ಯಾನ್ ಮಾಡುವಾಗ, ಬಳಕೆದಾರರು ಅದರೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವ ಅದೇ ಇಂಟರ್‌ಫೇಸ್‌ಗಳ ಮೂಲಕ ಸೇವೆಯೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ಉಪಕರಣವು ಶಕ್ತವಾಗಿರಬೇಕು.

ಮೂಲಸೌಕರ್ಯ ಸ್ಕ್ಯಾನರ್‌ಗಳು (Tenable Nessus, Qualys, MaxPatrol, Rapid7 Nexpose, ಇತ್ಯಾದಿ.) ತೆರೆದ ನೆಟ್‌ವರ್ಕ್ ಪೋರ್ಟ್‌ಗಳನ್ನು ಹುಡುಕುತ್ತವೆ, "ಬ್ಯಾನರ್‌ಗಳನ್ನು" ಸಂಗ್ರಹಿಸುತ್ತವೆ, ಸ್ಥಾಪಿಸಲಾದ ಸಾಫ್ಟ್‌ವೇರ್ ಆವೃತ್ತಿಗಳನ್ನು ಗುರುತಿಸುತ್ತವೆ ಮತ್ತು ಈ ಆವೃತ್ತಿಗಳಲ್ಲಿನ ದುರ್ಬಲತೆಗಳ ಕುರಿತು ಮಾಹಿತಿಗಾಗಿ ತಮ್ಮ ಜ್ಞಾನದ ಮೂಲವನ್ನು ಹುಡುಕುತ್ತವೆ. ಡೀಫಾಲ್ಟ್ ಪಾಸ್‌ವರ್ಡ್‌ಗಳು ಅಥವಾ ಡೇಟಾಗೆ ಸಾರ್ವಜನಿಕ ಪ್ರವೇಶ, ದುರ್ಬಲ SSL ಸೈಫರ್‌ಗಳು ಇತ್ಯಾದಿಗಳಂತಹ ಕಾನ್ಫಿಗರೇಶನ್ ದೋಷಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಅವರು ಪ್ರಯತ್ನಿಸುತ್ತಾರೆ.

ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ ಸ್ಕ್ಯಾನರ್‌ಗಳು (Acunetix WVS, Netsparker, Burp Suite, OWASP ZAP, ಇತ್ಯಾದಿ) ತಿಳಿದಿರುವ ಘಟಕಗಳು ಮತ್ತು ಅವುಗಳ ಆವೃತ್ತಿಗಳನ್ನು (ಉದಾ CMS, ಫ್ರೇಮ್‌ವರ್ಕ್‌ಗಳು, JS ಲೈಬ್ರರಿಗಳು) ಪತ್ತೆ ಮಾಡಬಹುದು. ಮುಖ್ಯ ಕ್ರಾಲ್ ಹಂತಗಳು ಕ್ರಾಲ್ ಮತ್ತು ಫಜಿಂಗ್.
ಕ್ರಾಲಿಂಗ್ ಸಮಯದಲ್ಲಿ, ಕ್ರಾಲರ್ ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಅಪ್ಲಿಕೇಶನ್ ಇಂಟರ್ಫೇಸ್ಗಳು ಮತ್ತು HTTP ಪ್ಯಾರಾಮೀಟರ್ಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸುತ್ತದೆ. ಅಸ್ಪಷ್ಟತೆಯ ಸಮಯದಲ್ಲಿ, ದೋಷವನ್ನು ಪ್ರಚೋದಿಸಲು ಮತ್ತು ದುರ್ಬಲತೆಯನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಎಲ್ಲಾ ಪತ್ತೆಯಾದ ನಿಯತಾಂಕಗಳನ್ನು ರೂಪಾಂತರಿತ ಅಥವಾ ರಚಿತವಾದ ಡೇಟಾದೊಂದಿಗೆ ಬದಲಿಸಲಾಗುತ್ತದೆ.

ಅಂತಹ ಅಪ್ಲಿಕೇಶನ್ ಸ್ಕ್ಯಾನರ್‌ಗಳು ಕ್ರಮವಾಗಿ DAST ಮತ್ತು IAST ವರ್ಗಗಳಿಗೆ ಸೇರಿವೆ - ಡೈನಾಮಿಕ್ ಮತ್ತು ಇಂಟರ್ಯಾಕ್ಟಿವ್ ಅಪ್ಲಿಕೇಶನ್ ಸೆಕ್ಯುರಿಟಿ ಟೆಸ್ಟಿಂಗ್.

ಬಿಳಿ ಪೆಟ್ಟಿಗೆ

ವೈಟ್‌ಬಾಕ್ಸ್ ಸ್ಕ್ಯಾನಿಂಗ್‌ನೊಂದಿಗೆ ಹೆಚ್ಚಿನ ವ್ಯತ್ಯಾಸಗಳಿವೆ.
VM ಪ್ರಕ್ರಿಯೆಯ ಭಾಗವಾಗಿ, ಸ್ಕ್ಯಾನರ್‌ಗಳು (ವಲ್ನರ್‌ಗಳು, ಇನ್‌ಸೆಕ್ಯುರಿಟಿ ಕೌಚ್, ವಲ್ಸ್, ಟೆನೆಬಲ್ ನೆಸ್ಸಸ್, ಇತ್ಯಾದಿ.) ದೃಢೀಕೃತ ಸ್ಕ್ಯಾನ್ ಮಾಡುವ ಮೂಲಕ ಸಿಸ್ಟಮ್‌ಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ನೀಡಲಾಗುತ್ತದೆ. ಹೀಗಾಗಿ, ಸ್ಕ್ಯಾನರ್ ಸ್ಥಾಪಿಸಲಾದ ಪ್ಯಾಕೇಜ್ ಆವೃತ್ತಿಗಳು ಮತ್ತು ಕಾನ್ಫಿಗರೇಶನ್ ನಿಯತಾಂಕಗಳನ್ನು ನೇರವಾಗಿ ಸಿಸ್ಟಮ್ನಿಂದ ಡೌನ್ಲೋಡ್ ಮಾಡಬಹುದು, ನೆಟ್ವರ್ಕ್ ಸೇವಾ ಬ್ಯಾನರ್ಗಳಿಂದ ಅವುಗಳನ್ನು ಊಹಿಸದೆ.
ಸ್ಕ್ಯಾನ್ ಹೆಚ್ಚು ನಿಖರ ಮತ್ತು ಸಂಪೂರ್ಣವಾಗಿದೆ.

ನಾವು ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ವೈಟ್‌ಬಾಕ್ಸ್ ಸ್ಕ್ಯಾನಿಂಗ್ (ಚೆಕ್‌ಮಾರ್ಕ್ಸ್, ಎಚ್‌ಪಿ ಫೋರ್ಟಿಫೈ, ಕವರ್ಟಿ, ಆರ್‌ಐಪಿಎಸ್, ಫೈಂಡ್‌ಸೆಕ್‌ಬಗ್‌ಗಳು, ಇತ್ಯಾದಿ) ಕುರಿತು ಮಾತನಾಡಿದರೆ, ನಾವು ಸಾಮಾನ್ಯವಾಗಿ ಸ್ಟ್ಯಾಟಿಕ್ ಕೋಡ್ ವಿಶ್ಲೇಷಣೆ ಮತ್ತು SAST ವರ್ಗದ ಸೂಕ್ತವಾದ ಪರಿಕರಗಳ ಬಳಕೆಯ ಬಗ್ಗೆ ಮಾತನಾಡುತ್ತೇವೆ - ಸ್ಟ್ಯಾಟಿಕ್ ಅಪ್ಲಿಕೇಶನ್ ಸೆಕ್ಯುರಿಟಿ ಟೆಸ್ಟಿಂಗ್.

ತೊಂದರೆಗಳು

ಸ್ಕ್ಯಾನಿಂಗ್‌ನಲ್ಲಿ ಹಲವು ಸಮಸ್ಯೆಗಳಿವೆ! ಕಟ್ಟಡದ ಸ್ಕ್ಯಾನಿಂಗ್ ಮತ್ತು ಸುರಕ್ಷಿತ ಅಭಿವೃದ್ಧಿ ಪ್ರಕ್ರಿಯೆಗಳಿಗೆ ಸೇವೆಯ ನಿಬಂಧನೆಯ ಭಾಗವಾಗಿ ನಾನು ಅವರಲ್ಲಿ ಹೆಚ್ಚಿನವರನ್ನು ವೈಯಕ್ತಿಕವಾಗಿ ವ್ಯವಹರಿಸಬೇಕು, ಹಾಗೆಯೇ ಭದ್ರತಾ ವಿಶ್ಲೇಷಣೆ ಕಾರ್ಯವನ್ನು ನಡೆಸುವಾಗ.

ವಿವಿಧ ಕಂಪನಿಗಳಲ್ಲಿ ಇಂಜಿನಿಯರ್‌ಗಳು ಮತ್ತು ಮಾಹಿತಿ ಭದ್ರತಾ ಸೇವೆಗಳ ಮುಖ್ಯಸ್ಥರೊಂದಿಗಿನ ಸಂಭಾಷಣೆಗಳಿಂದ ದೃಢೀಕರಿಸಲ್ಪಟ್ಟ ಸಮಸ್ಯೆಗಳ 3 ಮುಖ್ಯ ಗುಂಪುಗಳನ್ನು ನಾನು ಹೈಲೈಟ್ ಮಾಡುತ್ತೇನೆ.

ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ ಸ್ಕ್ಯಾನಿಂಗ್ ಸಮಸ್ಯೆಗಳು

  1. ಅನುಷ್ಠಾನದ ತೊಂದರೆ. ಸ್ಕ್ಯಾನರ್‌ಗಳನ್ನು ನಿಯೋಜಿಸಬೇಕು, ಕಾನ್ಫಿಗರ್ ಮಾಡಬೇಕು, ಪ್ರತಿ ಅಪ್ಲಿಕೇಶನ್‌ಗೆ ಕಸ್ಟಮೈಸ್ ಮಾಡಬೇಕು, ಸ್ಕ್ಯಾನ್‌ಗಳಿಗಾಗಿ ಪರೀಕ್ಷಾ ಪರಿಸರವನ್ನು ನಿಯೋಜಿಸಬೇಕು ಮತ್ತು ಪರಿಣಾಮಕಾರಿಯಾಗಿರಲು CI / CD ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿ ಅಳವಡಿಸಬೇಕು. ಇಲ್ಲದಿದ್ದರೆ, ಇದು ನಿಷ್ಪ್ರಯೋಜಕ ಔಪಚಾರಿಕ ಕಾರ್ಯವಿಧಾನವಾಗಿದೆ, ಕೇವಲ ತಪ್ಪು ಧನಾತ್ಮಕತೆಯನ್ನು ನೀಡುತ್ತದೆ
  2. ಸ್ಕ್ಯಾನ್ ಅವಧಿ. ಸ್ಕ್ಯಾನರ್‌ಗಳು, 2019 ರಲ್ಲಿಯೂ ಸಹ, ಇಂಟರ್ಫೇಸ್‌ಗಳನ್ನು ಡಿಡ್ಪ್ಲಿಕೇಟ್ ಮಾಡುವ ಕಳಪೆ ಕೆಲಸವನ್ನು ಮಾಡುತ್ತವೆ ಮತ್ತು ದಿನಕ್ಕೆ 10 ಪ್ಯಾರಾಮೀಟರ್‌ಗಳೊಂದಿಗೆ ಸಾವಿರ ಪುಟಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಬಹುದು, ಅವುಗಳನ್ನು ವಿಭಿನ್ನವಾಗಿ ಪರಿಗಣಿಸಬಹುದು, ಆದರೂ ಅದೇ ಕೋಡ್ ಅವರಿಗೆ ಕಾರಣವಾಗಿದೆ. ಅದೇ ಸಮಯದಲ್ಲಿ, ಅಭಿವೃದ್ಧಿ ಚಕ್ರದೊಳಗೆ ಉತ್ಪಾದನೆಗೆ ನಿಯೋಜಿಸುವ ನಿರ್ಧಾರವನ್ನು ತ್ವರಿತವಾಗಿ ಮಾಡಬೇಕು.
  3. ಕಳಪೆ ಶಿಫಾರಸುಗಳು. ಸ್ಕ್ಯಾನರ್‌ಗಳು ಸಾಕಷ್ಟು ಸಾಮಾನ್ಯ ಶಿಫಾರಸುಗಳನ್ನು ನೀಡುತ್ತವೆ ಮತ್ತು ಅಪಾಯದ ಮಟ್ಟವನ್ನು ಹೇಗೆ ಕಡಿಮೆ ಮಾಡುವುದು ಎಂದು ಡೆವಲಪರ್ ಯಾವಾಗಲೂ ಅವರಿಂದ ತ್ವರಿತವಾಗಿ ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ಸಾಧ್ಯವಿಲ್ಲ, ಮತ್ತು ಮುಖ್ಯವಾಗಿ, ಇದನ್ನು ಇದೀಗ ಮಾಡಬೇಕೇ ಅಥವಾ ಇನ್ನೂ ಭಯಾನಕವಲ್ಲವೇ
  4. ಅಪ್ಲಿಕೇಶನ್ ಮೇಲೆ ವಿನಾಶಕಾರಿ ಪರಿಣಾಮ. ಸ್ಕ್ಯಾನರ್‌ಗಳು ಅಪ್ಲಿಕೇಶನ್‌ನಲ್ಲಿ ಸುಲಭವಾಗಿ DoS ದಾಳಿಯನ್ನು ಮಾಡಬಹುದು, ಮತ್ತು ಅವರು ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ಘಟಕಗಳನ್ನು ರಚಿಸಬಹುದು ಅಥವಾ ಅಸ್ತಿತ್ವದಲ್ಲಿರುವವುಗಳನ್ನು ಬದಲಾಯಿಸಬಹುದು (ಉದಾಹರಣೆಗೆ, ಬ್ಲಾಗ್‌ನಲ್ಲಿ ಹತ್ತಾರು ಸಾವಿರ ಕಾಮೆಂಟ್‌ಗಳನ್ನು ರಚಿಸಿ), ಆದ್ದರಿಂದ ನೀವು ಆಲೋಚನೆಯಿಲ್ಲದೆ ಸ್ಕ್ಯಾನ್ ಅನ್ನು ರನ್ ಮಾಡಬಾರದು ಉತ್ಪನ್ನ.
  5. ದುರ್ಬಲತೆಯ ಪತ್ತೆಹಚ್ಚುವಿಕೆಯ ಕಳಪೆ ಗುಣಮಟ್ಟ. ಸ್ಕ್ಯಾನರ್‌ಗಳು ಸಾಮಾನ್ಯವಾಗಿ ಪೇಲೋಡ್‌ಗಳ ಸ್ಥಿರ ಶ್ರೇಣಿಯನ್ನು ಬಳಸುತ್ತವೆ ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್‌ನ ತಿಳಿದಿರುವ ನಡವಳಿಕೆಯ ಸನ್ನಿವೇಶಕ್ಕೆ ಹೊಂದಿಕೆಯಾಗದ ದುರ್ಬಲತೆಯನ್ನು ಸುಲಭವಾಗಿ ತಪ್ಪಿಸಿಕೊಳ್ಳಬಹುದು.
  6. ಸ್ಕ್ಯಾನರ್ ಅಪ್ಲಿಕೇಶನ್‌ನ ಕಾರ್ಯಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದಿಲ್ಲ. "ಇಂಟರ್ನೆಟ್ ಬ್ಯಾಂಕಿಂಗ್", "ಪಾವತಿ", "ಕಾಮೆಂಟ್" ಎಂದರೇನು ಎಂದು ಸ್ಕ್ಯಾನರ್‌ಗಳಿಗೆ ಸ್ವತಃ ತಿಳಿದಿಲ್ಲ. ಅವರಿಗೆ, ಲಿಂಕ್‌ಗಳು ಮತ್ತು ನಿಯತಾಂಕಗಳು ಮಾತ್ರ ಇವೆ, ಆದ್ದರಿಂದ ಸಂಭವನೀಯ ವ್ಯವಹಾರ ತರ್ಕ ದೋಷಗಳ ಒಂದು ದೊಡ್ಡ ಪದರವು ಸಂಪೂರ್ಣವಾಗಿ ಬಹಿರಂಗಗೊಳ್ಳುತ್ತದೆ; ಅವರು ಡಬಲ್ ರೈಟ್-ಆಫ್ ಮಾಡಲು, ಐಡಿ ಮೂಲಕ ಬೇರೊಬ್ಬರ ಡೇಟಾವನ್ನು ಬೇಹುಗಾರಿಕೆ ಮಾಡಲು ಅಥವಾ ಪೂರ್ಣಾಂಕದ ಮೂಲಕ ಸಮತೋಲನವನ್ನು ಹೆಚ್ಚಿಸಲು ಯೋಚಿಸುವುದಿಲ್ಲ.
  7. ಸ್ಕ್ಯಾನರ್ ಪುಟಗಳ ಶಬ್ದಾರ್ಥವನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದಿಲ್ಲ. ಸ್ಕ್ಯಾನರ್‌ಗಳು FAQ ಗಳನ್ನು ಓದಲು ಸಾಧ್ಯವಿಲ್ಲ, ಕ್ಯಾಪ್ಚಾಗಳನ್ನು ಗುರುತಿಸಲು ಸಾಧ್ಯವಿಲ್ಲ, ಮತ್ತು ನೀವು "ಲಾಗ್‌ಔಟ್" ಅನ್ನು ಕ್ಲಿಕ್ ಮಾಡಲಾಗುವುದಿಲ್ಲ ಮತ್ತು ಪ್ಯಾರಾಮೀಟರ್ ಅನ್ನು ಬದಲಾಯಿಸುವಾಗ ವಿನಂತಿಗಳಿಗೆ ಸಹಿ ಮಾಡುವುದು ಹೇಗೆ ಎಂದು ನೋಂದಾಯಿಸಲು ಮತ್ತು ನಂತರ ಮರು-ಲಾಗಿನ್ ಮಾಡುವುದು ಹೇಗೆ ಎಂದು ಅವರು ಸ್ವತಃ ಲೆಕ್ಕಾಚಾರ ಮಾಡುವುದಿಲ್ಲ. ಮೌಲ್ಯಗಳನ್ನು. ಪರಿಣಾಮವಾಗಿ, ಹೆಚ್ಚಿನ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಲಾಗುವುದಿಲ್ಲ.

ಮೂಲ ಕೋಡ್ ಸ್ಕ್ಯಾನಿಂಗ್ ಸಮಸ್ಯೆಗಳು

  1. ತಪ್ಪು ಧನಾತ್ಮಕ. ಸ್ಥಾಯೀ ವಿಶ್ಲೇಷಣೆಯು ಒಂದು ಸಂಕೀರ್ಣ ಕಾರ್ಯವಾಗಿದ್ದು ಅದು ಅನೇಕ ಹೊಂದಾಣಿಕೆಗಳನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ. ಆಗಾಗ್ಗೆ ನೀವು ನಿಖರತೆಯನ್ನು ತ್ಯಾಗ ಮಾಡಬೇಕಾಗುತ್ತದೆ, ಮತ್ತು ದುಬಾರಿ ಎಂಟರ್‌ಪ್ರೈಸ್ ಸ್ಕ್ಯಾನರ್‌ಗಳು ಸಹ ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ತಪ್ಪು ಧನಾತ್ಮಕತೆಯನ್ನು ನೀಡುತ್ತವೆ.
  2. ಅನುಷ್ಠಾನದ ತೊಂದರೆ. ಸ್ಥಿರ ವಿಶ್ಲೇಷಣೆಯ ನಿಖರತೆ ಮತ್ತು ಸಂಪೂರ್ಣತೆಯನ್ನು ಹೆಚ್ಚಿಸಲು, ಸ್ಕ್ಯಾನಿಂಗ್ ನಿಯಮಗಳನ್ನು ಪರಿಷ್ಕರಿಸುವುದು ಅವಶ್ಯಕ, ಮತ್ತು ಈ ನಿಯಮಗಳನ್ನು ಬರೆಯುವುದು ತುಂಬಾ ಸಮಯ ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ. ಅಂತಹ ಪ್ರಕರಣಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ನಿಯಮವನ್ನು ಬರೆಯುವುದಕ್ಕಿಂತ ಕೆಲವು ರೀತಿಯ ದೋಷದೊಂದಿಗೆ ಕೋಡ್‌ನಲ್ಲಿರುವ ಎಲ್ಲಾ ಸ್ಥಳಗಳನ್ನು ಕಂಡುಹಿಡಿಯುವುದು ಮತ್ತು ಅವುಗಳನ್ನು ಸರಿಪಡಿಸುವುದು ಕೆಲವೊಮ್ಮೆ ಸುಲಭವಾಗಿದೆ.
  3. ಅವಲಂಬನೆ ಬೆಂಬಲದ ಕೊರತೆ. ದೊಡ್ಡ ಯೋಜನೆಗಳು ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ಗ್ರಂಥಾಲಯಗಳು ಮತ್ತು ಪ್ರೋಗ್ರಾಮಿಂಗ್ ಭಾಷೆಯ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ವಿಸ್ತರಿಸುವ ಚೌಕಟ್ಟುಗಳನ್ನು ಅವಲಂಬಿಸಿರುತ್ತದೆ. ಸ್ಕ್ಯಾನರ್‌ನ ಜ್ಞಾನದ ನೆಲೆಯಲ್ಲಿ ಈ ಚೌಕಟ್ಟುಗಳಲ್ಲಿ ಅಪಾಯಕಾರಿ ಸ್ಥಳಗಳ ("ಸಿಂಕ್‌ಗಳು") ಬಗ್ಗೆ ಯಾವುದೇ ಮಾಹಿತಿ ಇಲ್ಲದಿದ್ದರೆ, ಇದು ಬ್ಲೈಂಡ್ ಸ್ಪಾಟ್ ಆಗುತ್ತದೆ ಮತ್ತು ಸ್ಕ್ಯಾನರ್ ಕೋಡ್ ಅನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದಿಲ್ಲ.
  4. ಸ್ಕ್ಯಾನ್ ಅವಧಿ. ಕೋಡ್‌ನಲ್ಲಿ ದೋಷಗಳನ್ನು ಕಂಡುಹಿಡಿಯುವುದು ಅಲ್ಗಾರಿದಮ್‌ಗಳ ವಿಷಯದಲ್ಲಿ ಸಂಕೀರ್ಣ ಕಾರ್ಯವಾಗಿದೆ. ಆದ್ದರಿಂದ, ಪ್ರಕ್ರಿಯೆಯು ಬಹಳ ಸಮಯ ತೆಗೆದುಕೊಳ್ಳಬಹುದು ಮತ್ತು ಗಮನಾರ್ಹ ಕಂಪ್ಯೂಟಿಂಗ್ ಸಂಪನ್ಮೂಲಗಳ ಅಗತ್ಯವಿರುತ್ತದೆ.
  5. ಕಡಿಮೆ ವ್ಯಾಪ್ತಿ. ಸಂಪನ್ಮೂಲ ಬಳಕೆ ಮತ್ತು ಸ್ಕ್ಯಾನಿಂಗ್ ಸಮಯದ ಹೊರತಾಗಿಯೂ, SAST ಟೂಲ್ ಡೆವಲಪರ್‌ಗಳು ಇನ್ನೂ ಹೊಂದಾಣಿಕೆ ಮಾಡಿಕೊಳ್ಳಬೇಕು ಮತ್ತು ಪ್ರೋಗ್ರಾಂ ಇರಬಹುದಾದ ಎಲ್ಲಾ ರಾಜ್ಯಗಳನ್ನು ವಿಶ್ಲೇಷಿಸುವುದಿಲ್ಲ
  6. ಸಂಶೋಧನೆಗಳ ಪುನರುತ್ಪಾದನೆ. ದುರ್ಬಲತೆಗೆ ಕಾರಣವಾಗುವ ನಿರ್ದಿಷ್ಟ ಲೈನ್ ಮತ್ತು ಕರೆ ಸ್ಟಾಕ್ ಅನ್ನು ಸೂಚಿಸುವುದು ಉತ್ತಮವಾಗಿದೆ, ಆದರೆ ವಾಸ್ತವವಾಗಿ, ಬಾಹ್ಯ ದುರ್ಬಲತೆಯನ್ನು ಪರಿಶೀಲಿಸಲು ಸ್ಕ್ಯಾನರ್ ಸಾಕಷ್ಟು ಮಾಹಿತಿಯನ್ನು ಒದಗಿಸುವುದಿಲ್ಲ. ಎಲ್ಲಾ ನಂತರ, ನ್ಯೂನತೆಯು ಡೆಡ್ ಕೋಡ್‌ನಲ್ಲಿರಬಹುದು, ಅದು ಆಕ್ರಮಣಕಾರರಿಗೆ ತಲುಪಲಾಗುವುದಿಲ್ಲ.

ಮೂಲಸೌಕರ್ಯ ಸ್ಕ್ಯಾನಿಂಗ್ ಸಮಸ್ಯೆಗಳು

  1. ಸಾಕಷ್ಟು ದಾಸ್ತಾನು ಇಲ್ಲ. ದೊಡ್ಡ ಮೂಲಸೌಕರ್ಯಗಳಲ್ಲಿ, ವಿಶೇಷವಾಗಿ ಭೌಗೋಳಿಕವಾಗಿ ಬೇರ್ಪಟ್ಟವುಗಳಲ್ಲಿ, ಯಾವ ಅತಿಥೇಯಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಬೇಕೆಂದು ತಿಳಿಯುವುದು ಅತ್ಯಂತ ಕಷ್ಟಕರವಾಗಿರುತ್ತದೆ. ಬೇರೆ ರೀತಿಯಲ್ಲಿ ಹೇಳುವುದಾದರೆ, ಸ್ಕ್ಯಾನಿಂಗ್ ಕಾರ್ಯವು ಆಸ್ತಿ ನಿರ್ವಹಣೆ ಕಾರ್ಯಕ್ಕೆ ನಿಕಟ ಸಂಬಂಧ ಹೊಂದಿದೆ
  2. ಕೆಟ್ಟ ಆದ್ಯತೆ. ನೆಟ್‌ವರ್ಕ್ ಸ್ಕ್ಯಾನರ್‌ಗಳು ಪ್ರಾಯೋಗಿಕವಾಗಿ ದುರ್ಬಳಕೆಯಾಗದ ನ್ಯೂನತೆಗಳೊಂದಿಗೆ ಅನೇಕ ಫಲಿತಾಂಶಗಳನ್ನು ನೀಡುತ್ತವೆ, ಆದರೆ ಔಪಚಾರಿಕವಾಗಿ ಅವುಗಳ ಅಪಾಯದ ಮಟ್ಟ ಹೆಚ್ಚಾಗಿರುತ್ತದೆ. ಗ್ರಾಹಕರು ಅರ್ಥೈಸಲು ಕಷ್ಟಕರವಾದ ವರದಿಯನ್ನು ಸ್ವೀಕರಿಸುತ್ತಾರೆ ಮತ್ತು ಮೊದಲು ಏನು ಸರಿಪಡಿಸಬೇಕು ಎಂಬುದು ಸ್ಪಷ್ಟವಾಗಿಲ್ಲ
  3. ಕಳಪೆ ಶಿಫಾರಸುಗಳು. ಸ್ಕ್ಯಾನರ್‌ನ ಜ್ಞಾನದ ಮೂಲವು ದುರ್ಬಲತೆ ಮತ್ತು ಅದನ್ನು ಹೇಗೆ ಸರಿಪಡಿಸುವುದು ಎಂಬುದರ ಕುರಿತು ಸಾಮಾನ್ಯ ಮಾಹಿತಿಯನ್ನು ಮಾತ್ರ ಒಳಗೊಂಡಿರುತ್ತದೆ, ಆದ್ದರಿಂದ ನಿರ್ವಾಹಕರು Google ನೊಂದಿಗೆ ತಮ್ಮನ್ನು ತಾವು ತೊಡಗಿಸಿಕೊಳ್ಳಬೇಕಾಗುತ್ತದೆ. ವೈಟ್‌ಬಾಕ್ಸ್ ಸ್ಕ್ಯಾನರ್‌ಗಳೊಂದಿಗೆ ಪರಿಸ್ಥಿತಿಯು ಸ್ವಲ್ಪ ಉತ್ತಮವಾಗಿದೆ, ಇದು ಸರಿಪಡಿಸಲು ನಿರ್ದಿಷ್ಟ ಆಜ್ಞೆಯನ್ನು ನೀಡಬಹುದು
  4. ಕೈಯಿಂದ ಮಾಡಿದ. ಮೂಲಸೌಕರ್ಯಗಳು ಅನೇಕ ನೋಡ್‌ಗಳನ್ನು ಹೊಂದಬಹುದು, ಅಂದರೆ ಸಂಭಾವ್ಯ ಅನೇಕ ನ್ಯೂನತೆಗಳು, ವರದಿಗಳನ್ನು ಪ್ರತಿ ಪುನರಾವರ್ತನೆಯಲ್ಲಿ ಹಸ್ತಚಾಲಿತವಾಗಿ ಪಾರ್ಸ್ ಮಾಡಬೇಕು ಮತ್ತು ವಿಶ್ಲೇಷಿಸಬೇಕು
  5. ಕಳಪೆ ವ್ಯಾಪ್ತಿ. ಮೂಲಸೌಕರ್ಯ ಸ್ಕ್ಯಾನಿಂಗ್‌ನ ಗುಣಮಟ್ಟವು ದುರ್ಬಲತೆಗಳು ಮತ್ತು ಸಾಫ್ಟ್‌ವೇರ್ ಆವೃತ್ತಿಗಳ ಬಗ್ಗೆ ಜ್ಞಾನದ ಬೇಸ್‌ನ ಗಾತ್ರವನ್ನು ನೇರವಾಗಿ ಅವಲಂಬಿಸಿರುತ್ತದೆ. ಇದರಲ್ಲಿ, ತಿರುಗಿದರೆ, ಮಾರುಕಟ್ಟೆ ನಾಯಕರು ಸಹ ಸಮಗ್ರ ಜ್ಞಾನದ ಮೂಲವನ್ನು ಹೊಂದಿಲ್ಲ, ಮತ್ತು ನಾಯಕರು ಹೊಂದಿರದ ಉಚಿತ ಪರಿಹಾರಗಳ ಡೇಟಾಬೇಸ್‌ಗಳಲ್ಲಿ ಸಾಕಷ್ಟು ಮಾಹಿತಿ ಇದೆ.
  6. ಪ್ಯಾಚಿಂಗ್ನೊಂದಿಗೆ ತೊಂದರೆಗಳು. ಹೆಚ್ಚಾಗಿ, ಮೂಲಸೌಕರ್ಯ ದೋಷಗಳನ್ನು ಪ್ಯಾಚಿಂಗ್ ಮಾಡುವುದು ಪ್ಯಾಕೇಜ್ ಅನ್ನು ನವೀಕರಿಸುವುದು ಅಥವಾ ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ ಅನ್ನು ಬದಲಾಯಿಸುವುದನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ. ಇಲ್ಲಿರುವ ದೊಡ್ಡ ಸಮಸ್ಯೆ ಏನೆಂದರೆ, ಸಿಸ್ಟಮ್, ವಿಶೇಷವಾಗಿ ಪರಂಪರೆ, ನವೀಕರಣದ ಪರಿಣಾಮವಾಗಿ ಅನಿರೀಕ್ಷಿತವಾಗಿ ವರ್ತಿಸಬಹುದು. ಮೂಲಭೂತವಾಗಿ, ನೀವು ಉತ್ಪಾದನೆಯಲ್ಲಿ ನೇರ ಮೂಲಸೌಕರ್ಯದಲ್ಲಿ ಏಕೀಕರಣ ಪರೀಕ್ಷೆಗಳನ್ನು ನಡೆಸಬೇಕಾಗುತ್ತದೆ.

ವಿಧಾನಗಳು

ಹೇಗೆ ಇರಬೇಕು?
ನಾನು ಉದಾಹರಣೆಗಳ ಬಗ್ಗೆ ಹೆಚ್ಚು ವಿವರವಾಗಿ ಹೇಳುತ್ತೇನೆ ಮತ್ತು ಈ ಕೆಳಗಿನ ಭಾಗಗಳಲ್ಲಿ ಈ ಸಮಸ್ಯೆಗಳನ್ನು ಹೇಗೆ ಎದುರಿಸುವುದು, ಆದರೆ ಇದೀಗ ನೀವು ಕೆಲಸ ಮಾಡಬಹುದಾದ ಮುಖ್ಯ ಕ್ಷೇತ್ರಗಳನ್ನು ನಾನು ಸೂಚಿಸುತ್ತೇನೆ:

  1. ವಿವಿಧ ಸ್ಕ್ಯಾನಿಂಗ್ ಪರಿಕರಗಳ ಒಟ್ಟುಗೂಡಿಸುವಿಕೆ. ಹಲವಾರು ಸ್ಕ್ಯಾನರ್‌ಗಳ ಸರಿಯಾದ ಬಳಕೆಯಿಂದ, ನೀವು ಜ್ಞಾನದ ಬೇಸ್ ಮತ್ತು ಪತ್ತೆಹಚ್ಚುವಿಕೆಯ ಗುಣಮಟ್ಟದಲ್ಲಿ ಗಮನಾರ್ಹ ಹೆಚ್ಚಳವನ್ನು ಸಾಧಿಸಬಹುದು. ನೀವು ಅಪಾಯದ ಮಟ್ಟವನ್ನು ಹೆಚ್ಚು ನಿಖರವಾಗಿ ನಿರ್ಣಯಿಸಬಹುದು ಮತ್ತು ಹೆಚ್ಚಿನ ಶಿಫಾರಸುಗಳನ್ನು ಮಾಡುವಾಗ, ಪ್ರತ್ಯೇಕವಾಗಿ ಪ್ರಾರಂಭಿಸಲಾದ ಎಲ್ಲಾ ಸ್ಕ್ಯಾನರ್‌ಗಳ ಒಟ್ಟು ಮೊತ್ತಕ್ಕಿಂತ ಹೆಚ್ಚಿನ ದುರ್ಬಲತೆಗಳನ್ನು ನೀವು ಕಾಣಬಹುದು.
  2. SAST ಮತ್ತು DAST ಏಕೀಕರಣ. ಅವುಗಳ ನಡುವೆ ಮಾಹಿತಿಯನ್ನು ಹಂಚಿಕೊಳ್ಳುವ ಮೂಲಕ DAST ಕವರೇಜ್ ಮತ್ತು SAST ನಿಖರತೆಯನ್ನು ಹೆಚ್ಚಿಸಲು ಸಾಧ್ಯವಿದೆ. ಮೂಲದಿಂದ ನೀವು ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಮಾರ್ಗಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಪಡೆಯಬಹುದು ಮತ್ತು DAST ಸಹಾಯದಿಂದ ನೀವು ಹೊರಗಿನಿಂದ ದುರ್ಬಲತೆ ಗೋಚರಿಸುತ್ತದೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸಬಹುದು
  3. ಯಂತ್ರ ಕಲಿಕೆ™. 2015 ರಲ್ಲಿ ಐ ಹೇಳಿದರು (ಮತ್ತು ಹೆಚ್ಚು) ಸ್ಕ್ಯಾನರ್‌ಗಳಿಗೆ ಹ್ಯಾಕರ್‌ನ ಅಂತಃಪ್ರಜ್ಞೆಯನ್ನು ನೀಡಲು ಮತ್ತು ಅವುಗಳನ್ನು ವೇಗಗೊಳಿಸಲು ಅಂಕಿಅಂಶಗಳನ್ನು ಬಳಸುವ ಬಗ್ಗೆ. ಭವಿಷ್ಯದಲ್ಲಿ ಸ್ವಯಂಚಾಲಿತ ಭದ್ರತಾ ವಿಶ್ಲೇಷಣೆಯ ಅಭಿವೃದ್ಧಿಗೆ ಇದು ಖಂಡಿತವಾಗಿಯೂ ಆಹಾರವಾಗಿದೆ.
  4. ಆಟೋಟೆಸ್ಟ್‌ಗಳು ಮತ್ತು OpenAPI ನೊಂದಿಗೆ IAST ಏಕೀಕರಣ. CI/CD ಪೈಪ್‌ಲೈನ್‌ನಲ್ಲಿ, HTTP ಪ್ರಾಕ್ಸಿಯಾಗಿ ಕೆಲಸ ಮಾಡುವ ಉಪಕರಣಗಳು ಮತ್ತು HTTP ಯ ಮೇಲೆ ಕಾರ್ಯನಿರ್ವಹಿಸುವ ಕ್ರಿಯಾತ್ಮಕ ಪರೀಕ್ಷೆಗಳ ಆಧಾರದ ಮೇಲೆ ಸ್ಕ್ಯಾನಿಂಗ್ ಪ್ರಕ್ರಿಯೆಯನ್ನು ರಚಿಸಲು ಸಾಧ್ಯವಿದೆ. OpenAPI/Swagger ಪರೀಕ್ಷೆಗಳು ಮತ್ತು ಒಪ್ಪಂದಗಳು ಸ್ಕ್ಯಾನರ್‌ಗೆ ಡೇಟಾ ಹರಿವಿನ ಬಗ್ಗೆ ಕಾಣೆಯಾದ ಮಾಹಿತಿಯನ್ನು ನೀಡುತ್ತದೆ ಮತ್ತು ವಿವಿಧ ರಾಜ್ಯಗಳಲ್ಲಿ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಲು ಸಾಧ್ಯವಾಗುವಂತೆ ಮಾಡುತ್ತದೆ
  5. ಸರಿಯಾದ ಸಂರಚನೆ. ಪ್ರತಿ ಅಪ್ಲಿಕೇಶನ್ ಮತ್ತು ಮೂಲಸೌಕರ್ಯಕ್ಕಾಗಿ, ನೀವು ಇಂಟರ್ಫೇಸ್‌ಗಳ ಸಂಖ್ಯೆ ಮತ್ತು ಸ್ವರೂಪ ಮತ್ತು ಬಳಸಿದ ತಂತ್ರಜ್ಞಾನಗಳನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಂಡು ಸೂಕ್ತವಾದ ಸ್ಕ್ಯಾನಿಂಗ್ ಪ್ರೊಫೈಲ್ ಅನ್ನು ರಚಿಸಬೇಕಾಗಿದೆ.
  6. ಸ್ಕ್ಯಾನರ್ ಗ್ರಾಹಕೀಕರಣ. ಸಾಮಾನ್ಯವಾಗಿ, ಸ್ಕ್ಯಾನರ್ ಅನ್ನು ಮಾರ್ಪಡಿಸದೆ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಲು ಸಾಧ್ಯವಿಲ್ಲ. ಪ್ರತಿ ವಿನಂತಿಗೆ ಸಹಿ ಮಾಡಬೇಕಾದ ಪಾವತಿ ಗೇಟ್‌ವೇ ಒಂದು ಉದಾಹರಣೆಯಾಗಿದೆ. ಗೇಟ್‌ವೇ ಪ್ರೋಟೋಕಾಲ್‌ಗೆ ಕನೆಕ್ಟರ್ ಅನ್ನು ಬರೆಯದೆಯೇ, ತಪ್ಪಾದ ಸಹಿಯೊಂದಿಗೆ ವಿನಂತಿಗಳನ್ನು ಸ್ಕ್ಯಾನರ್‌ಗಳು ಬುದ್ದಿಹೀನವಾಗಿ ಪೆಕ್ ಮಾಡುತ್ತದೆ. ನಿರ್ದಿಷ್ಟ ರೀತಿಯ ನ್ಯೂನತೆಗಳಿಗಾಗಿ ವಿಶೇಷ ಸ್ಕ್ಯಾನರ್‌ಗಳನ್ನು ಬರೆಯುವುದು ಸಹ ಅಗತ್ಯವಾಗಿದೆ, ಉದಾಹರಣೆಗೆ ಅಸುರಕ್ಷಿತ ನೇರ ವಸ್ತು ಉಲ್ಲೇಖ
  7. ಅಪಾಯ ನಿರ್ವಹಣೆ. ಅಸೆಟ್ ಮ್ಯಾನೇಜ್‌ಮೆಂಟ್ ಮತ್ತು ಥ್ರೆಟ್ ಮ್ಯಾನೇಜ್‌ಮೆಂಟ್‌ನಂತಹ ಬಾಹ್ಯ ವ್ಯವಸ್ಥೆಗಳೊಂದಿಗೆ ವಿವಿಧ ಸ್ಕ್ಯಾನರ್‌ಗಳ ಬಳಕೆ ಮತ್ತು ಏಕೀಕರಣವು ಅಪಾಯದ ಮಟ್ಟವನ್ನು ನಿರ್ಣಯಿಸಲು ಅನೇಕ ನಿಯತಾಂಕಗಳ ಬಳಕೆಯನ್ನು ಅನುಮತಿಸುತ್ತದೆ, ಇದರಿಂದಾಗಿ ನಿರ್ವಹಣೆಯು ಅಭಿವೃದ್ಧಿ ಅಥವಾ ಮೂಲಸೌಕರ್ಯದ ಪ್ರಸ್ತುತ ಭದ್ರತಾ ಸ್ಥಿತಿಯ ಸಾಕಷ್ಟು ಚಿತ್ರವನ್ನು ಪಡೆಯಬಹುದು.

ಟ್ಯೂನ್ ಆಗಿರಿ ಮತ್ತು ದುರ್ಬಲತೆಯ ಸ್ಕ್ಯಾನಿಂಗ್ ಅನ್ನು ಅಡ್ಡಿಪಡಿಸೋಣ!

ಮೂಲ: www.habr.com

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ