ProHoster > Sawirka baylahda iyo horumarka sugan. Qaybta 1

Sawirka baylahda iyo horumarka sugan. Qaybta 1

Sawirka baylahda iyo horumarka sugan. Qaybta 1

Iyada oo qayb ka ah hawlahooda xirfadeed, horumariyayaasha, petesters, iyo khabiirada amniga waa inay wax ka qabtaan hababka sida Maareynta Nuglaanta (VM), (Secure) SDLC.
Odhaahyadan waxa ku hoos jira habab iyo qalabyo kala duwan oo loo isticmaalo kuwaas oo isku xidhan, inkasta oo isticmaalayaashoodu ay kala duwan yihiin.

Horumarka farsamada weli ma gaarin heer hal qalab uu bedeli karo qofka si loo falanqeeyo amniga kaabayaasha iyo software.
Waxaa xiiso leh in la fahmo sababta tani ay sidaas tahay iyo dhibaatooyinka uu qofku la kulmo.

Geedi socodka

Habka Maareynta Nuglaanta waxaa loogu talagalay la socodka joogtada ah ee amniga kaabayaasha iyo maareynta balastarrada.
Habka SDLC ee sugan ("wareegga horumarka sugan") waxaa loogu talagalay in lagu ilaaliyo amniga codsiga inta lagu jiro horumarka iyo hawlgalka.

Qayb la mid ah oo ka mid ah hababkan waa habka Qiimaynta Nuglaanta - qiimaynta dayacanka, iskaanka dayacanka.
Farqiga ugu weyn ee u dhexeeya iskaanka VM iyo SDLC waa in kiiska ugu horreeya ujeedadu tahay in la ogaado dayacanka la yaqaan ee software-ka ama qaabeynta dhinac saddexaad. Tusaale ahaan, nooca Windows oo duugoobay ama xargaha bulshada ee SNMP.
Xaaladda labaad, hadafku waa in la ogaado dayacanka ma aha oo kaliya qaybaha saddexaad (ku tiirsanaanta), laakiin ugu horreyntii code ee alaabta cusub.

Tani waxay abuurtaa kala duwanaansho xagga qalabka iyo hababka. Fikradayda, hawsha raadinta nuglaanta cusub ee codsiga ayaa aad u xiiso badan, maadaama aysan hoos ugu dhicin noocyada faraha, ururinta boorarka, furaha sirta ah ee qasabka ah, iwm.
Iskaanka tayada sare leh ee otomaatiga ah ee dayacanka arjiga, algorithms ayaa loo baahan yahay kuwaas oo tixgalinaya semantiga codsiga, ujeeddadiisa, iyo hanjabaadaha gaarka ah.

Sawir-qaade kaabeyaasha dhaqaalaha ayaa inta badan lagu beddeli karaa saacad-saare, sida aan u dhigay avleonov. Ujeedadu waa in, kaliya tira-koob ahaan, aad u tixgelin karto kaabayaashaaga kuwo nugul haddii aadan cusboonaysiin, dheh, muddo bil ah.

alaabtii

Sawirka, sida falanqaynta amniga, waxa lagu samayn karaa iyada oo la isticmaalayo sanduuq madow ama sanduuq cad.

Box Box

Marka la baadho sanduuqa madow, qalabku waa inuu awoodaa inuu la shaqeeyo adeega iyada oo loo marayo is dhexjiro isku mid ah oo ay isticmaalayaashu ku shaqeeyaan.

Sawir-qaadayaasha kaabayaasha (Tenable Nessus, Qualys, MaxPatrol, Rapid7 Nexpose, iwm.) waxay raadiyaan dekedo shabakad furan, ururiyaan "calamadaha," waxay go'aamiyaan noocyada software-ka lagu rakibay, oo raadi saldhigga aqoontooda macluumaadka ku saabsan dayacanka noocyadan. Waxay sidoo kale isku dayaan inay ogaadaan khaladaadka qaabeynta sida furaha sirta ah ama gelitaanka xogta furan, SSL ciphers daciif ah, iwm.

Sawir-qaadayaasha codsiyada shabakadda (Acunetix WVS, Netsparker, Burp Suite, OWASP ZAP, iwm.) waxay sidoo kale aqoonsan karaan qaybaha la yaqaan iyo noocyadooda (tusaale, CMS, qaab-dhismeedka, maktabadaha JS). Tallaabooyinka ugu muhiimsan ee sawir-qaaduhu waa gurguuran iyo jaahwareer.
Inta lagu guda jiro gurguurashada, iskaaniyaha ayaa ururiya macluumaadka ku saabsan is dhex galka codsiga jira iyo cabirrada HTTP. Inta lagu jiro jahawareerka, xogta la beddelay ama la soo saaray ayaa la geliyaa dhammaan cabbirrada la ogaaday si loo kiciyo khalad loona ogaado dayacanka.

Sawir-qaadayaasha codsiga noocan oo kale ah waxay ka tirsan yihiin fasallada DAST iyo IAST - Imtixaanka Amniga Codsiga Firfircoon ee Firfircoon, siday u kala horreeyaan.

Sanduuqa cad

Waxaa jira kala duwanaansho badan oo ku saabsan iskaanka whitebox.
Iyada oo qayb ka ah habka VM, sawir-qaadayaasha (Vulners, Couch Insecurity, Vuls, Tenable Nessus, iwm.) ayaa inta badan la siiyaa marin u helidda nidaamyada iyagoo samaynaya iskaanka la xaqiijiyay. Sidaa darteed, iskaanka ayaa si toos ah uga soo dejisan kara noocyada xirmada ee rakiban iyo cabirrada qaabeynta, iyada oo aan la qiyaasin calamadaha adeegga shabakadda.
Sawirku waa ka saxsan yahay oo dhammaystiran yahay.

Haddii aan ka hadalno iskaanka sanduuqa whitebox (CheckMarx, HP Forify, Coverity, RIPS, FindSecBugs, iwm.) ee codsiyada, markaa waxaan inta badan ka hadlaynaa falanqaynta code static iyo isticmaalka aaladaha ku habboon fasalka SAST - Imtixaanka Amniga Codsiga Joogtada ah.

Dhibaatooyinka

Waxaa jira dhibaatooyin badan oo ku saabsan iskaanka! Waa inaan la macaamilaa intooda badan shakhsi ahaan iyada oo qayb ka ah bixinta adeegga dhismaha iskaanka iyo hababka horumarinta ee sugan, iyo sidoo kale marka la qabanayo shaqada falanqaynta amniga.

Waxaan iftiimin doonaa 3 kooxood oo waaweyn oo dhibaatooyin ah, kuwaas oo lagu xaqiijiyay wadahadal lala yeeshay injineerada iyo madaxda adeegyada amniga macluumaadka ee shirkado kala duwan.

Arrimaha Sawirka Codsiga Shabakadda

  1. Ku adkaanta fulinta. Sawir-qaadayaasha waxay u baahan yihiin in la geeyo, la habeeyo, loo habeeyo codsi kasta, loo qoondeeyo jawi tijaabo ah oo lagu baadho laguna hirgeliyo habka CI/CD si ay tani u noqoto mid waxtar leh. Haddii kale, waxay noqon doontaa habraac rasmi ah oo aan faa'iido lahayn oo soo saari doona uun faa'iidooyin been abuur ah
  2. Sawirka muddada Xataa sanadka 2019, sawir-qaadayaashu waxay qabtaan shaqo liidata oo ah kala-soocida is-dhexgalka waxayna ku qaadan karaan maalmo inay sawiraan kun bog oo leh 10 cabbir mid kasta, iyagoo tixgelinaya inay kala duwan yihiin, in kasta oo isla koodna uu mas'uul ka yahay. Isla mar ahaantaana, go'aanka ku saabsan geynta wax soo saarka gudaha wareegga horumarinta waa in si degdeg ah loo sameeyaa
  3. Talooyin liita. Sawir-qaadayaashu waxay bixiyaan talooyin guud oo caddaalad ah, horumariyahuna si dhakhso ah ugama fahmi karo iyaga sida loo yareeyo heerka khatarta, iyo tan ugu muhiimsan, haddii loo baahan yahay in la sameeyo hadda, ama maahan cabsi weli.
  4. Saamaynta burburka ee codsiga. Sawir-qaadayaasha ayaa laga yaabaa inay si fiican u fuliyaan weerarka DoS ee codsiga, waxayna sidoo kale abuuri karaan tiro badan oo hay'ado ah ama bedeli karaan kuwa jira (tusaale, ku samee tobanaan kun oo faallooyin ah blog), markaa waa inaadan si taxadar la'aan ah u bilaabin iskaanka wax soo saarka
  5. Tayada hoose ee ogaanshaha nuglaanta. Sawir-qaadayaashu waxay inta badan adeegsadaan tiro go'an oo culeysyo ah waxayna si fudud u seegi karaan u nuglaanshaha aan ku habboonayn xaaladda dhaqan ee arjiga ee la yaqaan.
  6. Sawir-qaaduhu ma fahmayo hawlaha arjiga. Sawir-qaadayaasha laftoodu ma yaqaaniin waxa ay yihiin "bangiga internetka", "lacag bixinta", "faallooyinka". Iyaga, waxaa jira xiriirin iyo xaddidaadyo kaliya, sidaa darteed lakab weyn oo dayacanka macquulka ah ee ganacsiga ayaa weli si buuxda loo daaha ka qaaday; kama fikiri doonaan samaynta laba-qoris, basaasnimo aqoonsiga qof kale, ama kordhinta dheelitirka iyada oo loo marayo wareeg.
  7. Sawir-qaaduhu ma fahmo semantiga boggaga. Sawir-qaadayaashu ma akhrin karaan FAQs, ma aqoonsan karaan captchs, kaligoodna ma ogaan doonaan sida loo diiwaan geliyo ka dibna dib u soo galaan, inaadan gujin karin "logout," iyo sida loo saxiixo codsiyada marka la bedelayo cabbirka qiyamka. Natiijo ahaan, codsiga intiisa badan lagama yaabo in la sawiro.

Dhibaatooyinka iskaanka isha code

  1. Waxyaalo been ah. Falanqaynta taagan waa hawl adag oo ku lug leh ganacsiyo badan. Saxnimada inta badan waa in la huraa, oo xitaa iskaanka ganacsiyada qaaliga ah waxay soo saaraan tiro aad u badan oo been abuur ah
  2. Ku adkaanta fulinta. Si loo kordhiyo saxnaanta iyo dhammaystirka falanqaynta joogtada ah, waa lagama maarmaan in la nadiifiyo xeerarka iskaanka, qorista xeerarkani waxay noqon kartaa mid aad u xoog badan. Mararka qaarkood way fududahay in la helo dhammaan meelaha koodka nooc ka mid ah cayayaanka oo la hagaajiyo intii la qori lahaa xeer lagu ogaanayo kiisaska noocaas ah
  3. Taageero ku tiirsanaan la'aan. Mashruucyada waaweyni waxay ku xiran yihiin tiro badan oo maktabado ah iyo qaab-dhismeedyo fidinaya awoodda luuqadda barnaamijka. Haddii saldhigga aqoonta iskaanka aanu haynin macluumaadka ku saabsan "wasaqda" qaab-dhismeedkan, waxay noqon doontaa meel indho la' oo iskaanka si fudud xitaa ma fahmi doono koodka.
  4. Sawirka muddada Helitaanka nuglaanshaha koodhka waa hawl adag marka la eego algorithms. Sidaa darteed, hawshu waxay qaadan kartaa waqti dheer waxayna u baahan tahay agab xisaabeed oo muhiim ah.
  5. Daboolista hoose. In kasta oo la isticmaalo kheyraadka iyo wakhtiga iskaanka, horumariyeyasha agabka SAST wali waa inay sameeyaan tanaasul oo ma falanqeeyaan dhammaan gobolada in barnaamijku ku jiro
  6. Dib u soo saarista natiijooyinka. Tilmaanta xariiqda gaarka ah iyo xirmada wicitaanka ee horseedda nuglaanshaha waa weyn, laakiin dhab ahaantii, inta badan iskaanka ma bixiyo macluumaad ku filan si loo hubiyo jiritaanka nuglaanshaha dibadda. Ka dib oo dhan, cilladdu waxay sidoo kale ku jiri kartaa koodka dhintay, kaas oo aan la gaari karin weeraryahan

Dhibaatooyinka iskaanka kaabayaasha

  1. Alaabada aan ku filnayn Kaabayaasha waaweyn, gaar ahaan kuwa u kala go'ay juquraafi ahaan, inta badan waa tan ugu adag in la ogaado martigeliyaha la iskaan karo. Si kale haddii loo dhigo, hawsha sawirku waxay si dhow ula xiriirtaa hawsha maaraynta hantida
  2. Mudnaanta liidata. Sawir-qaadayaasha shabakadu waxay inta badan soo saaraan natiijooyin badan oo leh cillado aan laga faa'iidaysan karin ficil ahaan, laakiin si rasmi ah heerkooda khatarta ahi waa mid sarreeya. Macaamilku waxa uu helayaa warbixin ay adagtahay in la tarjumo, mana cadda waxa u baahan in la saxo marka hore.
  3. Talooyin liita. Saldhigga aqoonta scanner-ku wuxuu inta badan ka kooban yahay kaliya macluumaad guud oo ku saabsan dayacanka iyo sida loo hagaajiyo, markaa maamulayaashu waa inay isku hubeeyaan Google-ka. Xaaladdu way ka yara roon tahay sawir-qaadayaasha whitebox, kuwaas oo soo saari kara amar gaar ah si loo hagaajiyo
  4. Gacan ku samays Kaabayaashoodu waxay yeelan karaan noodes badan, taas oo macnaheedu yahay cillado badan oo suurtagal ah, warbixinnada kuwaas oo ay tahay in la falanqeeyo oo lagu falanqeeyo gacanta mar kasta oo soo noqnoqonaysa.
  5. Daboolid liidata. Tayada iskaanka kaabayaasha tooska ah waxay kuxirantahay xajmiga saldhiga aqooneed ee ku saabsan dayacanka iyo noocyada software. Halkaa, soo baxay, xataa hogaamiyayaasha suuqa ma laha sal aqoon dhamaystiran, kaydadka xalalka xorta ah waxa ku jira xog badan oo aanay madaxdu haysan.
  6. Dhibaatooyinka ku yimaadda balastar. Inta badan, dayac-tirka dayac-tirka kaabayaasha waxay ku lug leedahay cusboonaysiinta xirmo ama beddelidda faylka qaabeynta. Dhibaatada ugu weyn halkan ayaa ah in nidaamka, gaar ahaan midka dhaxalka ah, uu u dhaqmi karo si aan la saadaalin karin natiijada cusbooneysiinta. Asal ahaan, waa inaad samayso imtixaanada isdhexgalka ee kaabayaasha nool ee wax soo saarka.

Hababka

Sidee loo noqon karaa?
Waxaan wax badan kaaga sheegi doonaa tusaalooyin iyo sida loola tacaalo qaar badan oo ka mid ah dhibaatooyinka liiska ee qaybaha soo socda, laakiin hadda waxaan tilmaami doonaa tilmaamaha ugu muhiimsan ee aad ku shaqeyn karto:

  1. Isku-darka qalabka wax lagu baadho ee kala duwan. Isticmaalka saxda ah ee dhowr scanners, waxaad ku gaari kartaa koror weyn oo ku saabsan saldhigga aqoonta iyo tayada ogaanshaha. Waxaad heli kartaa xitaa dayacano ka badan marka loo eego wadarta guud ee iskaanka si gooni gooni ah loo bilaabay, iyadoo aad si sax ah u qiimeyn karto heerka khatarta oo aad samayn karto talooyin badan
  2. Is dhexgalka SAST iyo DAST. Waa suurtogal in la kordhiyo daboolka DAST iyo saxnaanta SAST iyadoo la isweydaarsanayo macluumaadka dhexdooda. Ilaha waxaad ka heli kartaa macluumaadka ku saabsan waddooyinka jira, iyadoo la isticmaalayo DAST waxaad ka hubin kartaa in baylahdu ka muuqato dibadda
  3. Barashada Mashiinka. Sannadkii 2015-kii I sheegay (iyo dheeraad ah) ku saabsan isticmaalka tirokoobka si loo siiyo iskaanka si ay u fahmaan hacker-ka oo loo dedejiyo. Tani hubaal waa calafka horumarinta falanqaynta amniga tooska ah ee mustaqbalka.
  4. Is dhexgalka IAST ee tijaabinta iswada iyo OpenAPI. Gudaha dhuumaha CI/CD, waxaa suurtagal ah in la abuuro habka iskaanka ee ku salaysan aaladaha u shaqeeya HTTP wakiil ahaan iyo imtixaano shaqaynaya oo ka shaqeeya HTTP. Imtixaanada OpenAPI/Swagger iyo qandaraasyadu waxay siin doonaan iskaanka macluumaadka maqan ee ku saabsan socodka xogta waxayna suurtogal ka dhigi doonaan in la iskaan karo codsiga gobolo kala duwan
  5. qaabeynta saxda ah Codsi kasta iyo kaabayaal kasta, waxaad u baahan tahay inaad abuurto muuqaal sawireed ku habboon, iyadoo la tixgelinayo tirada iyo dabeecadda is-dhexgalka iyo tignoolajiyada la isticmaalo.
  6. Waxka beddelka sawir qaadaha. Inta badan codsiga lama sawiri karo iyada oo aan wax laga beddelin iskaanka. Tusaale ahaan waa albaabka lacag bixinta oo codsi kasta ay tahay in la saxiixo. Adigoon u qorin xidhiidhiyaha hab-maamuuska albaabka, iskaanka ayaa si miyir la'aan ah u garaaci doona codsiyada saxeex khaldan. Waxa kale oo lagama maarmaan ah in la qoro iskaanka gaarka ah ee nooc gaar ah oo cillad ah, sida Tixraac Ujeeddo Toos ah
  7. Maareynta khatarta Isticmaalka scanners kala duwan iyo isdhexgalka nidaamyada dibadda sida Maareynta Hantida iyo Maareynta Khatarta waxay u oggolaan doontaa isticmaalka cabbirro badan si loo qiimeeyo heerka khatarta, si maamulku uu u helo sawir ku filan oo ku saabsan xaaladda amniga ee hadda jirta ee horumarinta ama kaabayaasha.

La soco oo aynu carqaladayno iskaanka dayacanka!

Source: www.habr.com

Add a comment