S dotazi nás neváhejte kontaktovat: (420) 777 849 161 - Email info@vyroba-webu.cz

Enduro.js

Dnes si zkusíme otestovat nějaký menší projekt v Javasriptu. Konkrétně malou knihovnu pro CMS nad Node.js, Enduro. Abychom nemuseli mít dilema, zda zakládat tikety pro vývojáře dané aplikace a jednalo se pouze o ukázku, otestujeme nějakou starší verzi. Vybral jsem verzi 1.4.20. Každý si jako vždy můžete tento kód zkusit otestovat vaším nástroje, tato verze je k dispozici zde:

https://github.com/Gottwik/Enduro/archive/1.4.20.zip

Prohnal jsem aplikaci SAST nástrojem (jako vždy neuvádím kterým, nechávám na fantazii čtenářů). Níže je přehled nálezů z krátkým popisem jak by mělo/mohlo vypadat vyhodnocení takových nálezů: Číst více

Jenkins Build Server

Dnes si zkusíme otestovat nějaký větší projekt. Vybral jsem Open-Source build server Jenkins. Abychom nemuseli mít dilema zda zakládat tikety pro vývojáře dané aplikace a jednalo se pouze o ukázku, otestujeme nějakou starší verzi. Vybral jsem verzi 1.649. Každý si jako vždy můžete tento kód zkusit otestovat vaším nástroje, tato verze je k dispozici zde:

https://github.com/jenkinsci/jenkins/releases/tag/jenkins-1.649

Prohnal jsem aplikaci SAST nástrojem (jako vždy neuvádím kterým, nechávám na fantazii čtenářů). Níže je přehled vybraných nálezů z krátkým popisem jak by mělo/mohlo vypadat vyhodnocení takových nálezů: Číst více

C# Example Application

Dnes si zkusíme otestovat opět nějakou menší aplikaci vytvořenou přímo jako příklad bezpečnostních zranitelností. Jedná se o aplikaci v C#, kterou můžete nalézt zde:

https://www.codeproject.com/Articles/102284/SQL-Injection-and-Cross-Site-Scripting-2

Prohnal jsem aplikaci SAST nástrojem (jako vždy neuvádím kterým, nechávám na fantazii čtenářů). Níže je přehled nálezů z krátkým popisem jak by mělo/mohlo vypadat vyhodnocení takových nálezů:

SQL Injection

V souboru AddComment.aspx.cs Číst více

InsecureWebApp

První aplikace, kterou si zkusíme oskenovat je InsecureWebApp, která, jak již název napovídá, schválně zavádí některé bezpečnostní chyby. Tudíž se na ní dá pěkně pocvičit práce se SAST nástroji. O aplikaci se dočtete zde:

http://insecurewebapp.sourceforge.net/main/index.html

Stáhnout zdrojové kódy si můžete zde:

https://sourceforge.net/projects/insecurewebapp/files/

Prohnal jsem aplikaci SAST nástrojem (jako vždy neuvádím kterým, nechávám na fantazii čtenářů). Níže je přehled nálezů z krátkým popisem jak by mělo/mohlo vypadat vyhodnocení takových nálezů: Číst více

Pico (CMS)

Dnes si zkusíme otestovat nějaký menší projekt v PHP. Konkrétně jednu z populárních PHP knihoven, Pico (CMS). Abychom nemuseli mít dilema zda zakládat tikety pro vývojáře dané aplikace a jednalo se pouze o ukázku, otestujeme nějakou starší verzi. Vybral jsem verzi 2.0.0. Každý si jako vždy můžete tento kód zkusit otestovat vaším nástroje, tato verze je k dispozici zde:

https://github.com/picocms/Pico/archive/v2.0.0.zip

Prohnal jsem aplikaci SAST nástrojem (jako vždy neuvádím kterým, nechávám na fantazii čtenářů). Níže je přehled nálezů z krátkým popisem jak by mělo/mohlo vypadat vyhodnocení takových nálezů: Číst více

Příklady SAST skenů

V následující sekci najdete konkrétní příklady SAST skenů, vždy s odkazem na zdrojové kódy (Open-source). To vám umožnuje:

  • Podívat se na konkrétní nálezy přímo v kódu a nalézt si přesný výskyt
  • Spustit nějaký volně dostupný SAST nástroj nebo vám dostupný komerční a zkusit si to také,
    případně porovnat výsledky

Schválně neuvádím, jaký nástroj jsem kde použil, jde mi spíše o konkrétní příklad toho, jak pracovat s výsledky a orientovat se v daném kódu než vlastnosti konkrétních nástrojů. Skeny vznikali v různém čase a přidávám je sem postupně, když nějaký zajímavý udělám a je na to čas. Vždy skenuji pro potřeby ukázky starší verze, výsledky nad aktuální verzí daného sw nikdy nesdílím takto veřejně. Číst více

Kategorie zranitelnosti

Následuje slíbený seznam kategorií zranitelností, který průběžně doplňuji při zkoušení různých SAST nástrojů. Pokud vás zajímá, jak vypadají konkrétní výsledky pro nějaký zdrojový kód, podívejte se do sekce “Příklady”. Tento seznam obsahuje pokud možno pouze generický popis problému a vysvětlení + nějaké obecně platné rady. Průběžně jej rozšiřuji o nové typy, tudíž se můžete těšit na další záznamy ;).

SQL Injection

SQL injekce může způsobit ztrátu dat, jejich změnu (inkonzistenci), vyzrazení citlivých údajů jako jsou hesla, šifrovací klíče, personální data, nedostupnost databáze nebo celé aplikace, případně může dojít ke kompletnímu ovládnutí systému. Číst více

Statická analýza bezpečnosti aplikací

Statické testování zabezpečení aplikací – nebo SAST (Static application security testing) – je typ testování zranitelnosti softwarového zabezpečení. Při analýze SAST kontrolujeme a analyzujeme kód aplikace, abychom zjistily slabiny zabezpečení.

SAST best-practices

Dodržování doporučených postupů SAST je nezbytné pro bezpečný a zabezpečený kód, protože kontrola problémů přímo ve zdrojových souborech nám pomáhá detekovat bezpečnostní chyby v rané fázi vývoje, dříve než bude produkt spuštěn. Číst více