Ayudando a los desarrolladores a encontrar fallas de lógica y autorización

2

Los evaluadores de penetración profesionales suelen ser buenos para encontrar todo tipo de vulnerabilidades, incluidas fallas lógicas, que son muy específicas del sitio que se está probando. Sin embargo, al ser una actividad manual, las pruebas de penetración se realizan con poca frecuencia, por lo que existe el deseo de que los desarrolladores hagan más control de calidad de la seguridad en la empresa.

El control de calidad de la seguridad interna generalmente se realiza con una herramienta de seguridad, ya sea un escáner web o un analizador de código estático. Estas herramientas son excelentes para algunas vulnerabilidades (por ejemplo, secuencias de comandos entre sitios), pero generalmente no pueden encontrar fallas en la lógica o la autorización.

Entonces, ¿cómo podemos ayudar a los desarrolladores a encontrar fallas de lógica y autorización?

    
pregunta paj28 29.10.2013 - 15:59
fuente

1 respuesta

2

Esto se ha cubierto anteriormente, pero en mi opinión, la mejor manera de ayudar a los desarrolladores a encontrar fallas que podrían conducir a la explotación es enseñarles a explotar el código , enseñarles cómo ejecutar una inyección SQL ataque o un ataque directo de referencia de objeto. Establezca una competencia de captura de bandera en la empresa con los desarrolladores que utilizan sus nuevas habilidades de piratería para romper el tipo de código que están acostumbrados a escribir.

Una vez que realmente vea cómo funcionan los exploits, y una vez que ha pasado algún tiempo explotándolo, los lugares en el código que ve que son explotables comienzan a llamar la atención. Una vez que has sido entrenado para buscar estas fallas como atacante, no puedes desactivarlo. Los ves por todas partes. Y cuanto más tiempo pasas "hackeando", más brillantes comienzan a aparecer. Lo que ayer fue un truco para ahorrar tiempo ahora se convierte en un trampolín para la escalada de privilegios. Es solo una cuestión de perspectiva.

Es de suponer que sus desarrolladores nunca tendrán un uso para las habilidades de piratería que les enseñe, pero desea que tengan esas habilidades de todos modos. Cambia completamente su punto de vista como desarrolladores y cambia el tipo de código que producen.

    
respondido por el tylerl 30.10.2013 - 07:22
fuente

Lea otras preguntas en las etiquetas