پیدا کردن باگ!! چجوری؟

[secure_host]

متاسفانه مورد دیگه ای که خیلی دیده میشه سپردن سایت به تیم های ( مثلا) امنیتی می باشد که سایت را در نیم ساعت یا یک ساعت چک می کنند که باگ نداشته باشد ! که یکی از طنز ترین موارد امنیت است.

با سلام
الزاما برای همه تیم ها و شرکت ها این موضوع صادق نیست . مثلا ما پروژه های دریافتی را حداقل زمان بررسی 2 هفته است و موارد زیر بررسی می شود.

تست نفوذپذیری و بررسی نقاط آسیب پذیر وب سایت ها :

به طور کلی ما در این جا با سه روش برای پویش آسیب پذیری ها مواجه هستیم :
White box ، خواندن و آنالیز سورس کدهای برنامه و کشف آسیب پذیری ها با مطالعه تمام و کمال منابعی است که در دسترس کارشناس امنیت می باشد و او با آشنایی با زبان برنامه نویسی آن سیستم سعی خود را در کشف نقاط تاریک کد می نماید.
Black Box ، تست کور ، تستی که هیچ اطلاعاتی از نحوه ساختار برنامه در آن موجود نیست ، و نفوذ گر فقط با دانشی که از مواجهه با این برنامه ها به دستی آورده ، می تواند ساختاری مبهمی از برنامه مورد تست داشته باشد. (مباحث فازینگ در این مرحله مطرح میگردند )
Gary Box : تست نفوذ پذیری ای است که نفوذ گر منابع اولیه (همانند برنامه اصلی ) و نیز برخی از معرفی نامه ها و نوشتار های کمکی برنامه را در دست دارد .

که به طور کلی درایران روشهای اول و دوم بیشتر متداول می باشد و روش اول که به white box یا جعبه سفید معروف می باشد . که در این حالت source code ها توسط برنامه نویس در اختیار تیم تحلیل و بررسی قرار می گیرد و تیم تحلیل گر به ازای آنالیز کد ها به صورت خط به خط هزینه را برآورد می نماید و به شرکت و یا تیم برنامه نویسی اعلام می نماید که در صورت توافق قرار داد همکاری عقد می گردد . در این حالت مشخص می شود به عنوان مثال بررسی هر خط کد معادل 5000 هزار تومان می باشد . که در این حالت با توجه به بزرگی و گشتردگی کدها بطبع هزینه بررسی نیز بیشتر می شود. دراین قسمت تیم تحلیل گر مباحث مربوط به secure coding را نیز می تواند ارایه دهد که تصمیم گیری آن با تیم تحلیل گر می باشد.
که عمدتا این روش به source-code-auditing گفته می شود.

--- در حالت دوم که موسوم به BlackB0x یا جعبه سیاه می باشد . تیم تحلیل گر بدون دسترسی داشتن به Soruce Code ها اقدام به بررسی و پیاده سازی و شبیه سازی حملات متداول بر روی وب سایت مربوطه می نماید که در صورت حصول دسترسی و یا عدم حصول دسترسی مبلغی از شرکت طرف قرار داد دریافت می نماید که معمولا مبلغ دریافتی در صورت عدم دسترسی 70 % کل هزینه می باشد که با گرفتن دسترسی 100 % پول دریافت می گردد.

چون حالت سوم کمتر استفاده می گردد در صورت نیاز اعلام نمایید تا این مبحث را نیز توضیح دهم.

در تمام مراحل قرارداد کتبی بین دو طرف امضا می گردد. و تعهداتی نیز در این قرارداد لحاظ می گردد.

لذا جهت تست نفود پذیری نمی توان به صورت یکباره بر روی وب سایت شما نظر داد . زیرا نیازمند حداقل ۲ هفته کار مداوم می باشد . که این کار نیز هزینه خاص خودش را دارد.

باتشکر

[yastheme]

من منکر امکان بررسی بدون دسترسی سایت برای پیدا کردن باگ های امنیتی نیستم؛ متود هایی مثل SQL injection و حملات ریموت دیگر بدون دسترسی هم امکان یافتن آن ها وجود دارد؛
همچنین با دسترسی به سورس کد ها هم می توانید مواردی را بررسی کنید اما مسئله اصلی بررسی سایت در زمان یکی دو ساعتی است که افراد ذکر می کنند؛

من خودم برنامه نویسم و می دانم برای اسکریپتی که خودم ننوشته باشم و بانحوه کد نویسی آن آشنا نباشم پیدا کردن یک باگ چه مقدار دشوار است!
پیدا کردن باگ صرفا پیدا کردن کد های خطرناک و شل هایی که در فایل قرار داده شده اند نیست؛
جسارت به شما نباشد ولی خیلی ها از عدم دانش کافی افراد سو استفاده کرده و در حقیقت هیچ کار خاصی انجام نمی دهند.
من خودم هیچ وقت نمی گویم دو هفته برای پیدا کردن باگ کافی است! چرا که نمی دانم با چه چیزی رو برو خواهم بود,
اگر همین وردپرس را من دستکاری کنم و یک باگ در آن قرار دهم ( به شرط عدم استفاده از سورس کد اصلی وردپرس و انگار هیچ نسخه ی دیگری از آن در دسترس ندارد)
به راحتی می توانم بگویم بیشتر از دو ماه کار مداوم نیاز است ( البته برای یک حرفه ای ) تا فقط اون یک مورد را پیدا کنید.

کار تقریبا 99% افرادی که در این زمینه مشغول به فعالیت هستند " امن تر " کردن اسکریپت است و رفع باگ 100% نیست.

[secure_host]

با سلام
حداقل باز زمانی را اعلام کردم.
در حالی برای یکی از بانک های کشور حدود 3 ماه و نیم فقط یک آدرس وب زمان برد.
و یابرای اپراتورهای تلفن همراه برای 2 تا از اپراتورها یکی شون حدود 6 ماه زمان برد و دیگری از 7 ماه پیش تاکنون ادامه دارد و فقط موضوع بررسی وب سایت نمی باشد.
علاوه بر وب سایت pen test بر روی شبکه هم هست.

مطمئن باشید دانشی در اختیار مختصصین این امر هست که در اختیار برنامه نویسان نیست.
باتشکر

[iroo]

عجب داستانی شد...!
آخه بعضی ها چنان میگفتن بده چک کنم نیم ساعته!!! منم میگفتم چطوری این کار رو می کنه

سخته پس.....

[yastheme]

با سلام
حداقل باز زمانی را اعلام کردم.
در حالی برای یکی از بانک های کشور حدود 3 ماه و نیم فقط یک آدرس وب زمان برد.
و یابرای اپراتورهای تلفن همراه برای 2 تا از اپراتورها یکی شون حدود 6 ماه زمان برد و دیگری از 7 ماه پیش تاکنون ادامه دارد و فقط موضوع بررسی وب سایت نمی باشد.
علاوه بر وب سایت pen test بر روی شبکه هم هست.

مطمئن باشید دانشی در اختیار مختصصین این امر هست که در اختیار برنامه نویسان نیست.
باتشکر

چه جالب!
چند خط کد نوشتم من الان؛ اونم یهویی لطف کنید یه باگ از توش در بیارید و اصلاح شده ی اون رو برای من قرار بدید:
http://pastie.org/10211472

یه توضیحی هم بدم ؛ فرض می کنیم فایل هایی که انکلود شدن همه اوکی هستند و برای همین کدشو نزاشتم؛
یه صفحه هست که ما توش لاگین می کنیم و برامون سشن و کوکی میسازه و تو این کد که براتون قرار دادم صفحه ی بعد هست که سشن و کوکی رو چک می کنه و بعد اگه لاگین انجام شد از دیتابیس یه خبری رو می خونه؛
این ساده ترین نوع باگی هست که هر کسی می تونه پیدا کنه.

[iroo]

چه جالب!
چند خط کد نوشتم من الان؛ اونم یهویی لطف کنید یه باگ از توش در بیارید و اصلاح شده ی اون رو برای من قرار بدید:
http://pastie.org/10211472

یه توضیحی هم بدم ؛ فرض می کنیم فایل هایی که انکلود شدن همه اوکی هستند و برای همین کدشو نزاشتم؛
یه صفحه هست که ما توش لاگین می کنیم و برامون سشن و کوکی میسازه و تو این کد که براتون قرار دادم صفحه ی بعد هست که سشن و کوکی رو چکمی کنه و بعد اگه لاگین انجام شد از دیتابیس یه خبری رو می خونه؛
این ساده ترین نوع باگی هست که هر کسی می تونه پیدا کنه.

ای ول! خوب بود.... منتظر بونیم ببینیم چی میشه
موافقید یه تاپیک خوب واسه باگ گیری راه اندازی کنیم؟؟؟

[SamaN DL]

ای ول! خوب بود.... منتظر بونیم ببینیم چی میشه
موافقید یه تاپیک خوب واسه باگ گیری راه اندازی کنیم؟؟؟

ایده جالبیه, اگر دوستان همکاری کنن!

[iroo]

جدا میگم، یه تاپیک باشه که توش آموزش پیدا کردن باگ اسکریپت، نحوه رفع باگ و .... توش باشه
عملی هم باشه دوستان کد بذارن روش کار کنیم

[yastheme]

secure_host عزیز؛
شما الان دقیقا 20 دقیقه است که لینک کد را که ارسال کرده ام دیده اید؛(البته تا لحظه ارسال این پست )
برای یک برنامه نویس معمولی یک دقیقه هم کافی است؛ با توجه به این که دانشی در اختیار مختصصین این امر هست و در اختیار ما برنامه نویسان نیست حس می کردم باید زود تر از این ها پاسخ را ارسال می کردید.

[مینا-صیفی]

عجب داستانی شد...!
آخه بعضی ها چنان میگفتن بده چک کنم نیم ساعته!!! منم میگفتم چطوری این کار رو می کنه

سخته پس.....

دوست عزیز همه که نمیان کل کد ها فایل های اسکریپت را چند ماه چک کنند .
تیم های امنیتی البته اون 2 تایی که بهتون گفتنم میان اول دستی در لینوکس چک میکنند باگ هایی که بلدند و بعد میان با اسکنر های کختلف تست میکنند و بعد میان باگ هایی که ممکنه در اون اسکریپت تا این چند سال کشف شده را حفظ هستند را مثلا اگر اسکریپت wp اگر تو این 10سال مثلا 500تا باگ کشف شده میان دستی این ها را تست میکنند چون بلدند و میدونند هر کدوم را داشت پچ میکنند رفع میکنند که این کار کار همه هست جز بعضی ها اگر قرار باشه طرف بیاد کل اسکریپت که زمان بر هست چک کنه چندین ماه طول میکشه و قیمت بالایی هم داره و اگر اینطوره شما همان پول را اسکریپت اختصاصی بنویسید بهتره تا این کارا کنید . اما نتیجه گیری : شما به fullsecurity.org یا iranhack.org
باگ هایی که داشته باشه و کشف شده باشه را طبق تجربه و فوق حرفه ای بودنشون رفع میکنند و دیگر هک 1سال اول نخواهید شد حد اقل من که الان 5سال هست که دیگر مشکلی از هک نداشتم از وقتی اینا برام درست کردند خداراشکر با تشکر.