Лето CyberCamp 2026
Выступил на главной сцене на тему ИИ для red team и blue team
Выступил на главной сцене на тему ИИ для red team и blue team
🔥24👍2
Анализ исходного кода, глазами пентестера
#appsec #pentest
В тестировании с доступом к репозиторию код не заменяет динамическую проверку. Он сокращает путь к тем местам, которые плохо видны извне: альтернативным обработчикам запросов, фоновой обработке данных, неявным границам доверия и разрозненным проверкам прав.
Практичный порядок работы выглядит так:
1. Запустить один широкий SAST-анализ, исключив зависимости, сгенерированный код и тестовые данные.
2. Разобрать только релевантные сигналы: найти точку входа, проследить значение до опасной операции и проверить валидацию, экранирование или контроль доступа по пути.
3. Подтвердить важные цепочки в работающем приложении либо явно зафиксировать ограничение среды.
Это особенно полезно для инъекций, операций с файлами и десериализацией, хранения секретов, контроля прав и бизнес-процессов. Но строка из отчета SAST сама по себе не является находкой: она может относиться к тесту, недостижимому пути или безопасной обертке. В отчет должны попадать только доказуемые цепочки с понятным эффектом и конкретным местом для исправления.
Главный результат анализа кода - не больше алертов, а меньше неопределенности и более точные предложения к исправлению уязвиостей. Хорошая находка отвечает на четыре вопроса: откуда пришли данные, как они достигли опасного участка, что реально получит атакующий и какой контроль нужно добавить или исправить.
🌚 @poxek | 🌚 @poxek_ai | 📲 MAX
#appsec #pentest
В тестировании с доступом к репозиторию код не заменяет динамическую проверку. Он сокращает путь к тем местам, которые плохо видны извне: альтернативным обработчикам запросов, фоновой обработке данных, неявным границам доверия и разрозненным проверкам прав.
Практичный порядок работы выглядит так:
1. Запустить один широкий SAST-анализ, исключив зависимости, сгенерированный код и тестовые данные.
2. Разобрать только релевантные сигналы: найти точку входа, проследить значение до опасной операции и проверить валидацию, экранирование или контроль доступа по пути.
3. Подтвердить важные цепочки в работающем приложении либо явно зафиксировать ограничение среды.
Это особенно полезно для инъекций, операций с файлами и десериализацией, хранения секретов, контроля прав и бизнес-процессов. Но строка из отчета SAST сама по себе не является находкой: она может относиться к тесту, недостижимому пути или безопасной обертке. В отчет должны попадать только доказуемые цепочки с понятным эффектом и конкретным местом для исправления.
Главный результат анализа кода - не больше алертов, а меньше неопределенности и более точные предложения к исправлению уязвиостей. Хорошая находка отвечает на четыре вопроса: откуда пришли данные, как они достигли опасного участка, что реально получит атакующий и какой контроль нужно добавить или исправить.
Please open Telegram to view this post
VIEW IN TELEGRAM