कोड को मैन्युअल रूप से पढ़ना एक समय लेने वाली प्रक्रिया है। इसमें त्रुटि होने की संभावना भी होती है, क्योंकि इसमें महत्वपूर्ण विवरण छूट जाना आसान है। डेवलपर्स और पैनेट्रेशन टेस्टर के रूप में, हमें इस प्रक्रिया को स्वचालित करने का तरीका खोजने की आवश्यकता है। SAST एक ऐसी तकनीक है जो इस कार्य में हमारी मदद कर सकती है। इसका उपयोग केवल ओपन-सोर्स प्रोजेक्ट या व्हाइट-बॉक्स पैनेट्रेशन टेस्टिंग के लिए सोर्स कोड तक पहुँच वाले उपयोग मामलों के लिए किया जा सकता है। हालाँकि, यह आपको कुछ आसान काम खोजने और समय बचाने में मदद कर सकता है। SAST कोई आसान उपाय नहीं है। एसएएसटी क्या है? स्टेटिक एप्लिकेशन सुरक्षा परीक्षण (SAST) स्टेटिक कोड विश्लेषण का एक उपसमूह है जिसका उपयोग कोड की सुरक्षा और विश्वसनीयता बढ़ाने के लिए किया जाता है। SAST पुरानी निर्भरता, गुप्त पहचान, तार्किक त्रुटियों का पता लगाता है जो कमजोरियों को जन्म देती हैं, और बहुत कुछ। SAST में ऐसे परीक्षण शामिल हैं जो साइबर सुरक्षा को द्वितीयक रूप से प्रभावित करते हैं, जैसे दृश्य कोड जटिलता, कोड अस्पष्टता और गैर-सहज अभ्यास जो कमजोरियों को जन्म दे सकते हैं। व्यवहार में उपकरण SAST उपकरण आम तौर पर स्टेरॉयड पर रेगेक्स पैटर्न मैचर्स होते हैं जो कोड में ज्ञात कमजोरियों की तलाश करते हैं। उदाहरण के लिए, एक SAST उपकरण पायथन कोड में , , या उपयोग की तलाश कर सकता है, इन फ़ंक्शन का उपयोग मनमाने कोड को निष्पादित करने के लिए किया जा सकता है। eval exec pickle हैकिंग और SAST मैं SAST के प्रति अपने दृष्टिकोण को तीन श्रेणियों में विभाजित करूंगा: : मैं कोड में अटैक वेक्टर खोजने के लिए , जैसे टूल का उपयोग करता हूं। आप आमतौर पर कम-लटकते फल जैसे कि अनसैनिटाइज्ड इनपुट, खराब क्रिप्टोग्राफी या कमजोर लाइब्रेरी पा सकते हैं। वैसे, सेमग्रेप प्रो संस्करण में अधिक नियम हैं; यदि प्रोजेक्ट पर 10 से अधिक डेवलपर्स नहीं हैं तो यह मुफ़्त है। भेद्यता का पता लगाना सेमग्रेप , बैंडिट नोडजेसकैन : , , या आपको कोड में गुप्त जानकारी खोजने में मदद कर सकते हैं। यह महत्वपूर्ण है क्योंकि गुप्त जानकारी का उपयोग विशेषाधिकारों को बढ़ाने या संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है। आमतौर पर, डेटाबेस कनेक्शन स्ट्रिंग, API कुंजियाँ या पासवर्ड कोड में संग्रहीत होते हैं। गुप्त पहचान Gitleaks Trufflehog Grep : या जैसे उपकरण आपको गलत कॉन्फ़िगरेशन खोजने में मदद कर सकते हैं। गलत कॉन्फ़िगरेशन आमतौर पर "इन्फ्रास्ट्रक्चर ऐज़ कोड" (IaC) फ़ाइलों में होते हैं, लेकिन कोड में भी हो सकते हैं। एक उदाहरण एक गलत कॉन्फ़िगर की गई डॉकर-कंपोज़ फ़ाइल होगी जो इंटरनेट पर डेटाबेस को उजागर करती है। Dockerfiles को स्कैन करने के लिए, मैं और के संयोजन की सलाह देता हूँ गलत कॉन्फ़िगरेशन चेकोव ट्रिवी hadolint grype अधिक जानकारी: https://dkb-zh.gitlab-pages.ics.muni.cz/vulnerability-management/web-guides-external/docs/guide_iac_sast/#docker SAST उपकरण परिपूर्ण नहीं हैं। वे आपको गलत सकारात्मक और गलत नकारात्मक परिणाम देंगे। **हालाँकि, यह कुछ अनुप्रयोगों का बेतरतीब ढंग से शोषण करने की तुलना में बहुत समय बचाता है। मैंने अपने प्रवेश परीक्षण कार्यक्रमों और प्रतियोगिताओं में SAST उपकरणों का उपयोग किया। इसने मुझे कोडबेस के साथ शुरुआत करने में मदद की और मुझे कुछ संकेत दिए कि कहाँ कमज़ोरियों की तलाश करनी है। हैकिंग में SAST का उपयोग करके प्रशिक्षण कैसे प्राप्त करें मेरा सुझाव है कि आप से शुरुआत करें। यह प्लेटफ़ॉर्म चुनौतियां पेश करता है, जैसे कि सोर्स कोड प्राप्त करना और कमज़ोरियों का पता लगाना। फिर, उन्हें वास्तविक मशीन पर इस्तेमाल करना। यह SAST टूल का व्यवहार में उपयोग करना सीखने का एक शानदार तरीका है। Hack The Box या, यदि आप डेवलपर हैं, तो आप अपने CI/CD पाइपलाइन में SAST टूल का उपयोग कर सकते हैं। इस तरह, आप टूल और उनके आउटपुट के अभ्यस्त हो सकते हैं। साथ ही, आप अपने एप्लिकेशन की सुरक्षा में सुधार करेंगे। गाइड की अनुशंसा मैंने SAST और गुप्त पहचान के साथ शुरुआत करने में आपकी मदद करने के लिए गाइड की एक सूची तैयार की है। ये गाइड मेरी थीसिस के हिस्से के रूप में लिखे गए हैं और SAST टूल में रुचि रखने वाले किसी भी व्यक्ति के लिए एक बढ़िया शुरुआती बिंदु हैं। गुप्त पता लगाने की शुरुआत कैसे करें? रहस्यों का पता लगाते समय, याद रखें: अगर हैकर्स को यह पता है तो यह कोई रहस्य नहीं है। अनुभवी डेवलपर्स भी गलती से पासवर्ड या कनेक्शन स्ट्रिंग को रिमोट सोर्स कंट्रोल में डाल सकते हैं। विभिन्न उपकरणों का उपयोग करके, यह गाइड इस जोखिम को कम करने के लिए त्वरित और आसान तरीके प्रदान करता है। गुप्त जानकारी का पता लगाना स्वचालित कैसे करें यह गाइड प्री-कमिट हुक और CI/CD पाइपलाइन का उपयोग करके गुप्त पहचान को समझने पर केंद्रित है। जबकि कोड मुख्य रूप से GitLab पर केंद्रित है, अंतिम खंड GitHub को भी कवर करेगा। SAST पाइपलाइनों के साथ कैसे शुरुआत करें यह मार्गदर्शिका GitLab में स्टेटिक एप्लिकेशन सिक्योरिटी टेस्टिंग (SAST) आरंभ करने के चरणों को कुशलतापूर्वक रेखांकित करती है। SAST एक ऐसी प्रक्रिया है जो संभावित कमजोरियों की पहचान करने के लिए स्थिर कोड विश्लेषण का उपयोग करती है। IaC SAST के साथ कैसे शुरुआत करें यह चीटशीट इन्फ्रास्ट्रक्चर एज़ कोड (IaC) आर्टिफैक्ट्स को स्कैन करने के लिए उपयोगी टूल प्रस्तुत करती है तथा उन्हें आपकी CI/CD पाइपलाइन में एकीकृत करने के उदाहरण प्रदान करती है। Golang में कस्टम टूल मैंने गोलांग में एक कस्टम टूल बनाया है जो मुझे विशाल कोडबेस के साथ रेगेक्स का शीघ्रता से मिलान करने में मदद करता है। परिशुद्धता और भिन्नता के बीच एक अनंत समझौता है। मान लीजिए कि आपको ज़्यादा भिन्नता की ज़रूरत है और आपको ज़्यादा मैन्युअल समीक्षा करने में कोई आपत्ति नहीं है। उस स्थिति में, आप आज़मा सकते हैं, जो की तरह है लेकिन गुप्त पहचान के लिए ज़्यादा उपयुक्त है (बड़े रिपॉजिटरी में तेज़, स्पष्ट आउटपुट, कुछ फ़ाइल एक्सटेंशन को अनदेखा करना)। या आप सीधे grep का उपयोग कर सकते हैं। , न कि वह टूल जिसका आप उपयोग करेंगे। RegFinder grep सबसे मूल्यवान रिपॉजिटरी में मौजूद रेगेक्स हैं इस क्लोन करें रिपोजिटरी को चलाएँ grep -n -r your_app/ -Ef regex_dir/general.txt या चलाएँ ./regfinder.elf -d your_app/ -f regex_dir/general.txt मौजूदा रेगेक्स पैटर्न को विस्तारित करना सीधा है। यह उपकरण स्वचालित पाइपलाइनों के लिए व्यवहार्य नहीं है। हालाँकि, यह तब काम आता है जब आपको कोई गैर-मानक रहस्य खोजने की आवश्यकता होती है या अन्य आकलन में, जैसे कि सुरक्षा समीक्षा, जहाँ अधिक मैन्युअल कार्य अपेक्षित होता है। पढ़ने के लिए धन्यवाद। यदि आपको अन्य उपकरणों के साथ अच्छा अनुभव है तो टिप्पणी करें।
