По горячим следам: как обходили PT Application Inspector на Standoff 11
Недавно завершилась одиннадцатая кибербитва Standoff, проходившая в рамках Positive Hack Days 12 в московском Парке Горького. C 17 по 20 мая 22 команды белых хакеров атаковали государство F — виртуальный город с собственной железнодорожной инфраструктурой, атомной станцией, заводом по обогащению урана, солнечной электростанцией и другими объектами. В одном из его сегментов располагалась сеть IT-отдела авиакомпании, принадлежащей Heavy Logistics. По легенде у отдела разработки был выстроен процесс безопасной разработки: код проверялся с помощью PT Application Inspector.
Сразу обратим ваше внимание, что эта ситуация была смоделирована специально для кибербитвы Standoff для того, чтобы PT Application Inspector, задача которого искать уязвимости, мог еще и обнаруживать зловредный код. Поэтому «обошли» его только в рамках кибербитвы и заложенных в нее сценариев возможных атак.
Красным требовалось внедрить «закладку» в исходный код разрабатываемого приложения и сделать так, чтобы для SAST-анализатора она выглядела безопасной. В случае успеха они могли бы выполнить произвольный код на удаленном сервере компании.
Что рассмотрим в статье:
· особенности внедрения SAST-анализатор в кибербитву Standoff,
· попытки хакеров обойти анализатор,
· итоги и планы.
Читать далееИсточник: Хабрахабр
- Хабрахабр Информационная безопасность Блог компании Positive Technologies Информационная безопасность Совершенный код Кодобред DevOps sast статический анализ cybersecurity уязвимости сканер приложений standoff devsecops applicationsecurity исходный
- Настрочить жалобу в спортлото
- ptsecurity
- Распечатать
- TG Instant View
