Yakın arkadaşım ve başarılı ödül avcısı Corben Leo, bir blog yazısında bir Express uygulamasını yalnızca bir hata mesajından nasıl tespit ettiğini anlattı.. Kritik bir kusuru ortaya çıkarmak için Express uygulama kodu anlayışını kullandı.
Şu ifadeyi sıklıkla kullanırım: “İnşa etmeyi öğren, sonra kır“. Felsefesi basittir: Projeler oluşturarak, resmi belgeleri ve kod tabanlarını okuyarak ve ardından çalışmanızdaki güvenlik açıklarını bulmaya çalışarak güvenliği öğrenin.
Bana göre bu yaklaşım daha uygulamaya özel bulgulara yol açtı. Teknoloji yığınına ve uygulama işlevselliğine odaklanıyorum; genel amaçlı kontrol listelerine güvenmek yerine.
Beni yanlış anlamayın: OWASP İlk 10’da yanlış bir şey yok. Konu web uygulamalarını denetlemeye geldiğinde, en etkili ve muhtemelen ilginç bulgularımın uygulamanın kendisine özel olduğunu keşfettim. Örneğin, hata ödülü bağlamında, genel ve iyi belgelenmiş saldırı vektörleri kritik kusurlar üretebilir ancak program başlatıldığında oldukça hızlı bir şekilde ortaya çıkarılır. Bu genellikle çok sayıda mükerrer rapora ve hayal kırıklığına uğramış muhabirlere yol açacaktır.
“Araştırmacıyı alkışlıyoruz [Ed] Sadece genel bir kontrol listesi uygulamak değil, ürünümüz hakkında özel olarak düşünmek için.”
— Max Krohn, Keybase, OkCupid, SparkNotes ve TheSpark’ın kurucu ortağı Keybase’de ortaya çıkardığım bir dizi güvenlik açığı hakkında
Bunu neden paylaşma gereği duydum? Başkalarını denemeye teşvik etmeye çalıştığım bir şey, özellikle de birbirinin aynısı olan raporların saldırısıyla karşı karşıya kaldıklarında, sistemler oluşturmak ve işlerin nasıl tasarlandığını anlamak için zaman ayırmaktır. Bu bilgi birikimiyle kara kutu ortamında kalıpları tanımaya başlıyorum. ng-* rastgele bir HTML etiketindeki özellik? Ah, bu uygulama ön uçta Angular kullanıyor! Angular’ın ön uç kodunu yapılandırma konusunda oldukça inatçı bir yolu var. Bu, bu bilgiden yararlanmak ve diğer bileşenleri ortaya çıkarmak için harika bir fırsattır.
Corben’in bloguna yaptığım referansın da gösterdiği gibi, bu yaklaşımda yalnız değilim. Jack Whitton, hata ödülü topluluğunda aktif bir üye olduktan sonra Meta’da Güvenlik Mühendisi olarak çalışmanın onlara bu model tanımayı nasıl sağladığını anlattı..
Peki neden denemiyorsunuz? Düzenli olarak karşılaştığınız rastgele bir çerçeve veya teknoloji seçin.
İnşa etmeyi öğren, sonra kır.