Aiutare gli sviluppatori a trovare difetti logici e di autorizzazione

2

I tester di penetrazione professionale di solito sono bravi a trovare tutti i tipi di vulnerabilità, compresi i difetti logici, che sono altamente specifici per il sito in fase di test. Tuttavia, essendo un'attività manuale, i test di penetrazione vengono eseguiti di rado, quindi c'è il desiderio che gli sviluppatori facciano più QA di sicurezza in-house.

La sicurezza interna Il controllo qualità dipende in genere da uno strumento di sicurezza: uno scanner Web o un analizzatore di codici statici. Questi strumenti sono ideali per alcune vulnerabilità (ad esempio lo scripting cross-site) ma di solito non riescono a trovare difetti logici o di autorizzazione.

Quindi, come possiamo aiutare gli sviluppatori a trovare difetti logici e di autorizzazione?

    
posta paj28 29.10.2013 - 15:59
fonte

1 risposta

2

Questo argomento è stato trattato in precedenza, ma secondo me il modo migliore per aiutare gli sviluppatori a trovare difetti che potrebbero portare allo sfruttamento è insegnare loro a sfruttare il codice , insegnargli come eseguire un'iniezione SQL attacco o un attacco di riferimento diretto all'oggetto. Crea una competizione di cattura-bandiera in casa con gli sviluppatori che usano le loro nuove abilità di hacking per spezzare il tipo di codice che sono abituati a scrivere.

Una volta che vedi in realtà gli exploit funzionano, e dopo aver trascorso un po 'di tempo a sfruttarli da soli, i codici nel codice che vedi sono sfruttabili per attirare l'attenzione su di loro. Una volta che sei stato addestrato a cercare questi difetti come attaccante, non puoi spegnerlo. Li vedi dappertutto. E più tempo trascorri "hacking", più brillanti cominciano a farsi vedere. Quello che ieri era un trucco che risparmia tempo diventa ora un trampolino di lancio per privilegiare l'escalation. È solo una questione di prospettiva.

Presumibilmente i tuoi sviluppatori non avranno mai un uso per le abilità di hacking che insegni loro, ma tu vuoi che abbiano comunque quelle abilità. Cambia completamente il loro punto di vista come sviluppatori e cambia il tipo di codice che producono.

    
risposta data 30.10.2013 - 07:22
fonte