ProHoster > Vulnerability intuens and secure development. Pars I

Vulnerability intuens and secure development. Pars I

Vulnerability intuens and secure development. Pars I

Cum partes suas professionales operationes, tincidunt, penentestres, et professionales securitatis habent cum processibus agere sicut vulnerabilitas Management (VM), (Secure) SDLC.
Sub his locutionibus variae sunt exercitationum et instrumentorum usus qui implicantur, quamvis eorum utentes differant.

Progressus technologicus nondum eo pervenit ubi unum instrumentum hominem substituere potest ad securitatem infrastructure et programmatis examinandam.
Interest scire cur ita sit, et quaenam problemata spectent.

fiunt

Vulnerabilitas Management processum ad monitor continue substructuram securitatis et plenitudinis administrationem destinatur.
Securus processus SDLC ("securus cycli progressionis") ordinatur ad applicationem securitatis in evolutione et operatione conservandam.

Similis pars horum processuum est processus vulnerabilitas aestimatione - vulnerability taxatio, vulnerabilitas intuens.
Praecipua differentia inter intuens intra VM et SDLC est quod in primo casu, finis est vulnerabilitates notas invenire in programmate sive in configuratione tertio. Exempli gratia, versio iamnona Windows vel filum communitatis defaltae pro SNMP.
In secundo casu propositum est vulnerabilitates deprehendere non solum in tertia parte partium (dependentiae), sed praesertim in codice novi operis.

Inde differentias instrumentorum et appropinquationum oritur. Opinor, munus inveniendi novas vulnerabilities in applicatione multo magis interesting, cum non descendat ad versionem fingerprinting, vexillum collectionem, tesseram violentam, etc.
Qualitas automated intuens applicationis vulnerabilitates requirit algorithmos qui rationem semanticorum applicationis, finis et minarum specialium habent.

Scanner infrastructura cum timente saepe reponi potest, sicut avleonov. Punctum est quod peraeque mere, vulnerabilem infrastructuram tuam considerare potes, si non renovasti pro, dic, mensem.

vasa cantici

ENARRATIO, tum analysis securitatis, perfici potest ut arca nigra vel capsula alba.

black Box

Cum involucro tabellae, instrumentum debet operari per easdem interfaces quibus utentes cum eo operari possunt.

Scanners infrastructure (Tenable Nessus, Qualys, MaxPatrol, Rapid7 Nexpose, etc.) exspectant portus retis apertis, collige "vexilla", inaugurari versiones programmata inaugurari et eorum cognitionem turpia explorare pro informationibus de vulnerabilities in his versionibus. Etiam errores configurationis detegere conantur ut defaltam passwords vel accessus publici ad notitias, debiles SSL notas, etc.

Applicatio interretialis scanneri (Acunetix WVS, Netsparker, Burp Suite, OWASP ZAP, etc.) etiam notas partes earumque versiones deprehendere potest (eg CMS, frameworks, JS libraries). Praecipua vestigia serpunt et insuescunt.
Dum reptando, trahens informationes colligit de applicatione interfaces et HTTP parametros existentium. Per insanas res omnes parametri detectae cum notitiis mutatis vel generatis substituuntur ad errorem provocandum et vulnerabilitatem detegendam.

Talis applicationis scannarii pertinent ad classes DAST et IAST - respective Dynamica et Interactiva Application Securitatis Testis.

alba Box

Cum whitebox intuens plures sunt differentiae.
Cum pars processus VM, scanners (Vulners, Insecuritas Conch, Vuls, Nessus Tenable, etc.) saepe accessum ad systemata dantur per scan authenticum faciendo. Ita, scanner inaugurari potest versiones involucras et parametri conformationes directe ex systemate, sine coniectura eas ex vexillis retis muneris.
Scan accuratius et perfectius est.

Si loquimur de analysi whitebox (CheckMarx, HP Fortify, Coverity, RIPS, FindSecBugs, etc.) de applicationibus, tunc plerumque de codice static analysi loquimur et de usu instrumentorum classium respondentium SAST - Static Application Securitatis Testis.

problems

Multae difficultates cum intuendo sunt! Plurimum ex illis personaliter agere debeam ut partem provisionis servitii ad processuum progressionem aedificandam intuens et securam, necnon cum analysi securitatis operando.

III principales circulos problematum singulas faciam, quae etiam confirmantur per colloquia cum fabrum et capitibus informationum officia securitatis in variis societatibus.

Web Application ENARRATIO Exitus

  1. difficultas exsecutionis. Scanners opus est ad singulas applicationes explicandas, configurandas, nativus, collocandas ad examen ambitus ad lustrandum et ad effectum deducendum in CI/CD processu. Alioquin processus formalis inutilis erit, solum positivis falsis procedens
  2. Scan diuturnitas. Scanneri, etiam anno 2019, pauperem officium interfacies duplicandi faciunt et mille paginas cum 10 parametris singulis diebus lustrare possunt, eas varias considerantes, quamvis idem codicem illis respondeat. Eodem tempore consilium explicandi ad productionem intra cyclum evolutionis celeriter perficiendum est.
  3. Pauperum commendationes. Scanners satis generalia suasiones dant, et non semper elit ut cito ex illis intelligat quomodo gradum periculi minuat, ac potissimum, utrum nunc faciendum sit, an nondum FORMIDULOSUS.
  4. Destructive ligula in applicatione. Scanners facile in applicatione DoS impetum facere possunt, et etiam magnum numerum entium seu mutationum exsistentium creare possunt (exempli gratia, decem milia commentariorum in blog creant), ne inconsiderate scan in uber.
  5. Pauperis qualitas nuditatis deprehensio. Scanners usitate certa stipendiorum acie utuntur et facile carere possunt vulnerabilitate quae in notis applicandis moribus eorum non convenit.
  6. Scanner functiones applicationis non intelligit. Scanners ipsi nesciunt quid sit "penitus ripam", "solucionis", "commentarium" est. Eis tantum nexus et parametri sunt, itaque ingens iacuit possibilis negotii logicae vulnerabilitas omnino nudata manet, non coniectandum est ut duplicem scriptioni-amitionem faciant, aliorum notitias per ID vel libram per rotunditatem aspiciendi.
  7. Erroris paginae semantics a scanner. Scanneri FAQ legere non possunt, captchas agnoscere non possunt, per se divinare non possunt quam subcriptio ac deinde re-login, quod "concludere" non potes, et petitiones signare cum modulo mutando valores. Quam ob rem, potissimum applicationis ratio, omnino intacta manere potest.

Source Code ENARRATIO Exitus

  1. Falsa positiva. Analysis statica negotium complexum est, quod multas implicationes implicat. Saepe tibi accurate sacrificandum est, et etiam sumptuosus inceptis sclopetariis ingentem copiam falsorum positivorum dabit.
  2. difficultas exsecutionis. Ut accuratam et perfectam analysin static augeat, necesse est regulas dilucidas expolire, et has regulas scribere nimis vicissitudines posse. Aliquando facilius est omnia loca in codice cum aliquo genere cimex invenire et ea figere quam regulam scribere ad tales casus deprehendere.
  3. Defectum dependentiae subsidium. Magnae inceptae a pluribus bibliothecis et compagibus pendent quae facultates linguae programmandi extendunt. Si nulla notitia de locis periculosis ("desinet") in his compagibus in cognitione basis scanneri, fiet macula caeca et scanner simpliciter signum ne quidem intelleget.
  4. Scan diuturnitas. Vulnerabilitates in codice invenire, difficile opus est etiam in terminis algorithmis. Ideo processus bene moratus est et opes computandi significantes requiret.
  5. Humilis coverage. Quamvis consumptio subsidii et spatium scandi, instrumenta tincidunt SAST adhuc habent ut ad compromissas adhibendas et analyses non omnes civitates quae programma inesse possint.
  6. Reproducibilitas inveniens. Monens ad lineam specificam et acervum vocationis quae ad vulnerabilitatem ducit, magna est, sed re vera, saepe scanner satis notitias non praebet ad reprimendam vulnerabilitatem externam. Ceterum uitium etiam in codice mortuo esse potest, quod oppugnanti impossibile est.

Infrastructure ENARRATIO Exitus

  1. Sufficiat inventarium. In magnis substructionibus, praesertim geographico- rum separatis, saepe difficillimum est figuras quas exercitus lustrare. Aliis verbis, munus intuendi arcte coniungitur cum munere administrationis res
  2. Malum prioritizationem. Retiacula scannarii saepe multos eventus ducunt cum vitiis quae in usu non sunt usui, sed formaliter in periculo magno sunt. Dolor relationem accipit difficilem interpretationem, nec patet quid primo corrigendum sit
  3. Pauperum commendationes. Basis scientia scanner saepe solum notitias generalissimas de vulnerabilitate continet et quomodo eam reficere, sic admins debebit se cum Google armare. Status modice melior est cum scanneribus albis, quae certum mandatum figere potest
  4. Rhoncus sed. Infrastructurae multae nodi possunt habere, quae significat potentia multa vitia esse, relationes in quibus manually singula iteratione partiri et enucleari debent.
  5. Malum coverage. Qualitas infrastructurae intuens directe dependet a magnitudine cognitionis basis circa vulnerabilitates et versiones programmata software. Quibus, quodduces mercatus basim cognitionem non habent, et multum est informationes in solutionibus datorum gratuitarum quas duces non habent.
  6. Problems with patch. Saepissime vulnerabilitates inaequales infrastructuras adaequant sarcinam vel limam configurationem mutans. Magna quaestio hic est quod systema, praesertim legatum, praevideri potest propter renovationem. Revera, integrationem habere debebis probationes vivae infrastructure in productione.

Appropinquat

Quomodo autem fieri potest?
Plura de exemplis et quomodo de his in sequentibus partibus agam, subtilius ibo, sed nunc praecipuas regiones in quibus operari potes demonstrabo:

  1. Congregatio variorum instrumentorum intuens. Cum recto usu multiplicium scannerum, notabile incrementum cognitionis basis et qualitas deprehendendi obtineri potest. Plus vulnerabilitates invenire potes quam summa omnium scannariorum singillatim currere, dum verius periculum aestimare potes et plus commendationis facere.
  2. SAST and DAST integratio. DAST coverage et accurate augere potest SAST informationes inter eas communicando. Ex fonte cognoscere potes de viis existentibus et ope DAST inspicias num vulnerabilitas ab extra sit conspicua.
  3. Apparatus Learning™. In MMXV I dixit (et More) de statisticis utendi ut scatebra inspicientia piratici praebeat et eos accelerat. Certus hic cibus est ad progressionem securitatis automated analysis in futurum.
  4. Integratio IAST cum autotestis et OpenAPI. Intra CI/CD-pipelineum processum scandentem creare potest secundum instrumenta quae operantur sicut HTTP procuratores et functiones probationes quae super HTTP operantur. OpenAPI/Swagger probationes et pactiones dabunt scanner informationes absentis de notitia fluit, efficiet ut applicationes in variis civitatibus enucleentur.
  5. Configuratio recta. Ad singulas applicationes et infrastructuras, aptam explorationem efficere debes, attentis numero et natura interfaces, technologiae adhibitae.
  6. Scanner css. Saepe applicatio non potest lustrari nisi mutato lumine . Exemplum est portae solutionis ubi quaelibet petitio subsignari debet. Sine iungo ad portam protocollo scribens, scannarii sine mente rogantes elidunt cum subscriptione falsa. Oportet etiam scanneribus specialibus scribere pro certo genere vitiorum, ut Dirige insecure Object Reference
  7. Periculo procuratio. Usus variorum scannerum et integratio cum systematibus externis, sicut Asset Management et comminatio Management, plures parametros in periculo periculo aestimandos permittet, ut procuratio congruam imaginem hodiernae securitatis status evolutionis vel infrastructure capere possit.

Mane versa et vulnerabilitatem intuens perturbare!

Source: www.habr.com

Add a comment