ptsecurity 22 авг 2013 в 13:43

Скрестить ужа с ежом. Найти все-все 0-day. Захватить Вселенную!11

4 мин

8.5K

Блог компании Positive TechnologiesИнформационная безопасность*

+14

Комментарии 15

pxx 22 авг 2013 в 15:08

Ух, слишком уж высок порог вхождения в статью. По отдельности большинство слов — знакомы, но, складываясь в предложения, они не дают абсолютно никакого понимания, из какой это всё области.

ptsecurity 23 авг 2013 в 14:04

Возможно это так. Речь в статье идет о различных подходах к автоматизации тестирования приложений с точки зрения безопасности. По сути это одна из статей цикла, более ранние, касающиеся вопросов закладок, НДВ, статического и динамического анализа можно найти тут и тут.

casperrr 22 авг 2013 в 16:35

А две единицы в конце заголовка должны были быть восклицательными знаками или так задумано? А то кочует из блога в секлаб, теперь вот на хабре.

-1

ptsecurity 22 авг 2013 в 16:49

Так задумано)

casperrr 22 авг 2013 в 17:29

Хм, а выглядит как просто небрежность. Не всем дано понимать столь тонкий юмор.

KirAmp 22 авг 2013 в 18:54

На самом деле очень известный юмор. Произошел, насколько мне известно от девочек-школьниц, пишущих капсом и ставивших много восклицательных знаков, дабы почерпнуть значимость ее слов. Такая ирония «Значимости».
Пример, реальный, где-то встречал:

ВОБЩЕМ… Я БЫЛА В МАГАЗИНЕ И КУПИЛА ТАКИЕ СУМКУ!!!!!111тАК ВОТ..

vanxant 22 авг 2013 в 18:55

Это не юмор, это мем.
Типа this is Sparta!!!!!!!!!11111111111

casperrr 22 авг 2013 в 19:02

Вот она — старость.

relgames 22 авг 2013 в 16:56

Не ясна цель всего этого. Если статический анализатор нашел потенциальную дыру, зачем ее передавать куда-то? Дыры надо фиксить.

ptsecurity 22 авг 2013 в 17:21

Дело в том, что одной из проблем SAST является потенциально большое количество ложных срабатываний. Например тут найдено 57000+ «уязвимостей». Причем большая часть — ложные срабатывания. Разбирать руками? Фиксить все?

Ну и кроме того, верификация уязвимости путем «посмотреть код глазками» может быть более трудоемкой разботой, чем отправить запрос server/script?search=">alert('xoked'), если, конечно средство предоставляет такие данные.

relgames 22 авг 2013 в 17:23

Теперь понятно, спасибо! Просто я увидел картинку в начале поста, и подумал, что пересечение множеств меньше каждого из множеств, ну и подумал — зачем сознательно уменьшать количество потенциальных дыр. Но получается, что потенциальная дыра != реальная дыра, и такое уменьшение действительно имеет смысл.

xvilka 23 авг 2013 в 01:29

Сразу вспоминается работа m0n0sapiens «How I met your pointer» events.ccc.de/congress/2012/Fahrplan/attachments/2256_HowIMetYourPointer.pdf
Хотя области применения и разные (веб-приложения против обычных сетевых приложений), но иногда они могут и пересекаться.

d00kie 23 авг 2013 в 14:56

Что-то не понял связи. Там RE и анализ точек входа через сетевого клиента + фаззинг. Задача поиска эксплойтбл багов. То есть это DAST.
А ребята из ПТ говорят про комплексную автоматизацию через сорцы, где «выход» c SAST идет на валидацию через методы DAST.

xvilka 23 авг 2013 в 15:03

Возможно я просто слишком широко воспринял аналогию. Имхо, DAST + RE — некоторая аналогия наличия исходников, то есть аналогия SAST. Хотя, конечно, формально это неверно.

d00kie 23 авг 2013 в 15:14

Ну тут главное это автоматизация процесса и покрытие кода. Сама же идея подхода: как SAST->DAST и RE->DAST стара и очевидна.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий