ProHoster > Блог > Whakahaerenga > Me pehea te whakamahi i tetahi taputapu ngawari ki te rapu whakaraeraetanga i roto i te waehere papatono

Me pehea te whakamahi i tetahi taputapu ngawari ki te rapu whakaraeraetanga i roto i te waehere papatono

Ka tautokohia e Graudit nga reo hotaka maha ka taea e koe te whakauru tika i nga whakamatautau haumarutanga waehere ki roto i te kaupapa whanaketanga.

Me pehea te whakamahi i tetahi taputapu ngawari ki te rapu whakaraeraetanga i roto i te waehere papatono
Source: Unsplash (Markus Spiske)

Ko te whakamatautau he waahanga nui o te huringa ora whanaketanga rorohiko. He maha nga momo whakamatautau, ma ia tangata e whakaoti ana ake raru. I tenei ra e hiahia ana ahau ki te korero mo te rapu raruraru haumarutanga i roto i te waehere.

Ma te mohio, i roto i nga ahuatanga hou o te whanaketanga rorohiko, he mea nui ki te whakarite i te haumarutanga o te tukanga. I tetahi wa, i whakauruhia te kupu motuhake DevSecOps. Ko tenei kupu e pa ana ki te raupapa o nga tikanga e whai ana ki te tautuhi me te whakakore i nga whakaraeraetanga i roto i tetahi tono. He otinga puna tuwhera motuhake mo te tirotiro i nga whakaraeraetanga i runga i nga paerewa OWASP, e whakaatu ana i nga momo rereke me te whanonga o nga whakaraeraetanga i roto i te waehere puna.

He rereke nga huarahi ki te whakaoti rapanga haumarutanga, penei i te Whakamatau Haumarutanga Taupānga Static (SAST), Te Whakamātautau Haumaru Taupānga Hihiko (DAST), Te Whakamātautau Haumaru Tauhokohoko Tauwhitiwhiti (IAST), Te Taatari Hanganga Pūmanawa, me etahi atu.

Ko te whakamatautau haumarutanga tono pateko e tohu ana i nga hapa i roto i te waehere kua tuhia. Ko tenei huarahi kaore e hiahiatia kia rere te tono, na reira i kiia ai he tātaritanga pateko.

Ka aro ahau ki te tātari waehere pateko me te whakamahi i tetahi taputapu puna tuwhera ngawari hei whakaatu i nga mea katoa i roto i nga mahi.

He aha ahau i whiriwhiri ai i tetahi taputapu puna tuwhera mo te tātaritanga haumarutanga waehere pateko

He maha nga take mo tenei: tuatahi, he kore utu na te mea kei te whakamahi koe i tetahi taputapu i hangaia e te hapori o nga tangata rite te whakaaro e hiahia ana ki te awhina i etahi atu kaiwhakawhanake. Mena he roopu iti koe, he tiimata ranei, ka whai waahi nui koe ki te penapena moni ma te whakamahi i nga punaha punaha tuwhera hei whakamatautau i te haumarutanga o to turanga waehere. Tuarua, ka whakakorehia e koe te hiahia ki te utu i tetahi roopu DevSecOps motuhake, ka whakaheke ake i o utu.

Ko nga taputapu puna tuwhera pai ka hangaia i nga wa katoa me te whakaaro ki nga whakaritenga kua piki ake mo te ngawari. Na reira, ka taea te whakamahi i roto i te tata ki nga waahi katoa, e hipoki ana i te tini o nga mahi. He maamaa ake mo nga kaiwhakawhanake ki te hono i enei taputapu ki te punaha kua oti kee i a raatau e mahi ana i a raatau kaupapa.

Engari tera pea etahi wa ka hiahia koe ki tetahi waahanga kaore i te waatea i roto i te taputapu ka tohua e koe. I tenei keehi, ka whai waahi koe ki te tarai i tana waehere me te whakawhanake i taau ake taputapu i runga i taua mea me nga mahi e hiahia ana koe.

I te nuinga o nga wa ko te whakawhanaketanga o te punaha punaha tuwhera kei te kaha awehia e te hapori, ko te whakatau ki te whakarereke i te tere me te kii: ka whakawhirinaki nga kaihanga o te kaupapa puna tuwhera ki nga urupare me nga whakaaro mai i nga kaiwhakamahi, i runga i o raatau ripoata mo i kitea nga hapa me etahi atu raruraru.

Ma te whakamahi i te Graudit mo te Tatari Haumarutanga Waehere

Ka taea e koe te whakamahi i nga momo taputapu puna tuwhera mo te tātari waehere pateko; kaore he taputapu mo te ao katoa mo nga reo hotaka katoa. Ko nga kaihanga o etahi o ratou e whai ana i nga taunakitanga OWASP me te ngana ki te kapi i nga reo maha ka taea.

I konei ka whakamahia e matou Graudit, he taputapu raina whakahau ngawari e taea ai e tatou te kimi whakaraeraetanga i roto i to tatou turanga waehere. E tautoko ana i nga reo rereke, engari he iti noa to raatau huinga. I whakawhanakehia a Graudit i runga i te taputapu whaipainga grep, i tukuna i raro i te raihana GNU.

He taputapu rite mo te tātari waehere pateko - Rough Auditing Tool for Security (RATS), Securitycompass Web Application Analysis Tool (SWAAT), flawfinder me etahi atu. Engari he tino ngawari a Graudit me te iti o nga whakaritenga hangarau. Heoi ano, ka raru pea koe kaore e taea e Graudit te whakaoti. Na ka taea e koe te rapu mo etahi atu whiringa i konei i runga i tenei rarangi.

Ka taea e tatou te whakauru i tenei taputapu ki roto i tetahi kaupapa motuhake, ki te waatea ranei ki tetahi kaiwhakamahi kua tohua, ka whakamahi ranei i te wa kotahi i roto i a maatau kaupapa katoa. I konei hoki ka uru mai te ngawari o Graudit. No reira, me kati te repo i te tuatahi:

$ git clone https://github.com/wireghoul/graudit

Inaianei me hanga he hononga tohu mo Graudit hei whakamahi i te whakatakotoranga whakahau

$ cd ~/bin && mkdir graudit
$ ln --symbolic ~/graudit/graudit ~/bin/graudit

Me taapiri he ingoa ingoa ki te .bashrc (he aha ranei te konae whirihoranga e whakamahia ana e koe):

#------ .bashrc ------
alias graudit="~/bin/graudit"

Whakaara Anō:

$ source ~/.bashrc # OR
$ exex $SHELL

Kia tirohia mena i angitu te whakaurunga:

$ graudit -h

Mena ka kite koe i tetahi mea rite, ka pai nga mea katoa.

Me pehea te whakamahi i tetahi taputapu ngawari ki te rapu whakaraeraetanga i roto i te waehere papatono

Ka whakamatautau ahau i tetahi o aku kaupapa o naianei. I mua i te whakahaerenga o te taputapu, me tuku he papa korero e rite ana ki te reo i tuhia ai taku kaupapa. Kei te kōpaki ~/gradit/signatures ngā pātengi raraunga:

$ graudit -d ~/gradit/signatures/js.db

Na, i whakamatauria e ahau nga konae js e rua mai i taku kaupapa, a ka whakaatu a Graudit i nga korero mo nga whakaraeraetanga o taku waehere ki te papatohu:

Me pehea te whakamahi i tetahi taputapu ngawari ki te rapu whakaraeraetanga i roto i te waehere papatono

Me pehea te whakamahi i tetahi taputapu ngawari ki te rapu whakaraeraetanga i roto i te waehere papatono

Ka taea e koe te whakamatautau i o kaupapa i te huarahi ano. Ka taea e koe te kite i te rarangi o nga papaa raraunga mo nga reo hotaka rereke konei.

Nga painga me nga kino o Graudit

Ka tautoko a Graudit i nga reo maha. Na reira, he pai mo te tini o nga kaiwhakamahi. Ka taea e ia te whakataetae me nga utu utu utu ranei. A he mea tino nui kei te mahi tonu nga whakapainga ki te kaupapa, kaore te hapori e awhina i nga kaihanga anake, engari ano hoki etahi atu kaiwhakamahi e ngana ana ki te whakaaro i te taputapu.

He taputapu pai tenei, engari i tenei wa kaore e taea te tohu i nga wa katoa he aha te raru o tetahi waahanga tohu whakapae. Kei te whakapai tonu nga kaihanga ki a Graudit.

Engari ahakoa he aha, he pai ki te aro ki nga raruraru haumarutanga pea i roto i te waehere i te wa e whakamahi ana i nga taputapu penei.

Tīmata…

I roto i tenei tuhinga, i titiro ahau ki tetahi noa o nga huarahi maha ki te rapu whakaraeraetanga - static application security testing . He ngawari te whakahaere i te tātari waehere pateko, engari he timatanga noa iho. Hei ako atu mo te haumarutanga o to turanga waehere, me whakauru e koe etahi atu momo whakamatautau ki to huringa oranga whanaketanga rorohiko.

I runga i nga Tika Tika

VPS pono a ko te kowhiringa tika o te mahere utu ka taea e koe te iti ake te raru mai i te whakawhanaketanga na nga raru kino - ka mahi nga mea katoa me te kore he rahua me te waa tino nui!

Me pehea te whakamahi i tetahi taputapu ngawari ki te rapu whakaraeraetanga i roto i te waehere papatono

Source: will.com

Tāpiri i te kōrero