1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
Семантический анализ и семантический поиск - разные вещи
Читать полностью…
Ну то и значит, регулярное выражение работает со стримом байтов
К сведению - строковые литералы - это массив байтов
И кстати, я не говорил «семантический поиск»
Читать полностью…
Где аргумент приведенный ЗА противоречие?)
Читать полностью…
Поиск с учетом контекста семантических конструкций программного кода
Читать полностью…
А как это противоречит этому?
Читать полностью…
Оо Да вроде нет. Можно цитату?
Читать полностью…
куртор резолвит все домены за закрепленым днс, флара - в целом норм если не залететь своими direct ip в кэши, но опять же вопрос времени так скажем
но конечно же если готовить инфру правильно, т.е. ограничиваем любые сетки кроме предоставленной провайдером, и так далее, то в целом проблема просто делегируется на того кто anti-ddos предоставляет в рамках обещанных sla
однако в реальности вопрос довольно сложный по регуляции трафика, ну условно что бы защищаться от ддос и быть не зависимым нужна большая экспертиза и вложения. Страшнвя штука этот ддос как бы не так, когда она касается тебя
Это ограничение рулов taint анализа
В остальном - для обычного анализа семантического через построение AST дерева пофайлового анализа должно хватить
если у тебя закрытый контур ...
то NLP моделька в которую вручную закидывают материалы для обучения - решает
мы даже знаем, что она Котельникова
Читать полностью…
Наверно при том, что этот метод оценивает распределение символов в каждой строке, как правило секреты представляют из себя последовательность случайных символов чаще всего 16-32 символа в длинну
а по сабжу вопроса так-то для начала определитесь сами, если в рамках корп. разработки/команд все активности, то:
1. инвентаризация активы, вы занимаетесь безопасностью разработки или чем то другим если не знаете какие активы и интеграции используют разработчики? сомневаюсь что на прод будут выкатывать одним днем какие либо интеграции использующие секреты. Составляете список интеграций и формируете паттерны под них
2. если логи структурные (но впроче если даже и нет), то каждая строка имеет определенный формат, f'Log message {action} timestamp}. Нас интересуют конечно же подставляемые части, остальная конструкция будет статична, проанализировав набор статичных частей - можно выявить стартовый параметр для энтропии и уменьшить вероятность FP. Однако принцип анализа по энтропии - хороший вариант когда нам необходимо обнаружить зашифрованные данные, в этом случае безусловно данный метод лучше (зашифрованные строки обычно либо в base64 подобных форматах либо в хексе с весьма большой длиной)
Очевидно, комбинировать методы не имеет смысла, имею ввиду анализировать энтропию и потом гнать в pattern based, с таким же успехом можно без энтропии это сделать, однако все зависит от механизма реализации. Если реализации имеют концептуально разный подход, возможно однотипные сканирования разными инструментами могут дать лучший результат.
Первый пункт мне кажется решает проблему без потребности каких-то супер подходов анализа секретов
Ребят, вы пропустили суть вопроса автора. Идея обнаруживать секреты в логике логгирования, значения секретов могут быть видны только в runtime'е. Я не очень понимаю, причем здесь анализ значений строк, если они вам не даны как исходные данные для статики
Читать полностью…
Нет нужды велосипеда, всё уже предусмотрено в trufflehog и подобных
Читать полностью…
А если еще гранулярно их сделать, то можно будет понять какая команда потеряла и быстрее выявить место утечки
Читать полностью…
А вот тут говорил 🤡
Читать полностью…
Классическая задача на собес
Читать полностью…
Что это значит, поиск по стриму байтов?
Читать полностью…
А поиск по regex - это поиск по ... ?
Читать полностью…
Семантический поиск - это поиск по ... ? 🌚
Читать полностью…
Поэтому доверять энтропийному анализу и пользоваться regex поиском секретов - по-моему мнению сомнительно показывает высокую матерость команды
Ты выше утверждал обратное... Определись 🌚
Читать полностью…
В контексте сканирования секретов taint анализ вроде не применяется
Читать полностью…
https://github.com/semgrep/semgrep
Note that in security contexts, Semgrep Community Edition will miss many true positives as it can only analyze code within the boundaries of a single function or file.Читать полностью…
Но вообще задача весьма сомнительная, как предлагалось выше, проще sast проанализировать или грепнуть переменные которые присутствуют в функциях логирования, грепнуть список и изучить займет от силы минут 15. В случае обнаружения шагаем к разрабу, проводим беседу, параллельно готовим регламент на будущее, что бы не ходить дважды.
Но кто знает, какая специфика у автора вопроса, не мне судить
либо переложить ответственность на разрабов, https://github.com/oxsecurity/MaskerLogger
неужели сложно добавить модуль если вы конечно не разрабатываете коммерческое ПО на основе open source, maintainer'оп которого является сторонний человек или организация
Поэтому доверять энтропийному анализу и пользоваться regex поиском секретов - по-моему мнению сомнительно показывает высокую матерость команды
Читать полностью…
Я к тому, что энтропийный анализ нужно применять на значения, а не на стрим байтов. Чего не умеет делать trufflehog. Он не строит AST дерево в отличие от semgrep'а
Энтропийный анализ сильно фолзит при анализе на стриме байтов, а идеальный коэф. выставить общий сложно
Дак да, о том и речь
Читать полностью…
Кажется что гораздо проще будет использовать префиксы для секретов и по ним искать
Читать полностью…