4yk Oct 23 at 13:15

Как мы профукали базу клиента и научились безопасности

Easy

8 min

8.2K

Development Management * Information Security *

From sandbox

+11

Comments 6

Steppi91 Oct 23 at 13:39

Дааа, жестко вас наказали, ну главное что вы поняли свои ошибки, а значит защищены от того чтобы их повторить. Но вот что странно, у вас тестирование не проводится что ли?

4yk Oct 23 at 14:09

Если речь про qa, то проводится. Но они сосредоточены на функционале и подобные вещи обычно не проверяют.

Если речь про пентест -проводится, но это истории с большим интервалом. Вот в такой интервал мы и попали.

Avangardio Oct 23 at 17:07

Давно не писал комментарии, но тут прямо не очень стало по мере прочтения. Столько умных терминов, формул и анализов, в то время, когда в команде, в которой есть, так называемые, «сеньоры», произошла инъекция, когда уже несколько лет всё комьюнити сошлось на параметрах, просто поражает…

4yk Oct 24 at 02:16

Да, все верно. Но умные слова и формулы появились после инцидента, до этого акценты были на ином. Возможно, сеньор был перегружен или просто отправил на вере в чудо. Мы стараемся не вести охоту на ведьм, а адаптировать систему, чтоб проблема в дальнейшем не повторилась.

Wolfdp Oct 24 at 04:58

На хабре когда-то проскакивала статья, что если вы не тестируете безопасность как нечто само-собой разумеющееся, то где-то так оно потом и выходит. Т.е. мы привыкли закладывать в задачу разработку, тестирование, написание документации, ревью, но вот проверку секрьюрити -- это что-то на фентезийном. А потом звонки и холодный пот...

P.S. мне казалось sql-иньекции это что-то на древнегреческом, и все давным-давно работают через параметры, которые априори не позволяют влепить исполняемый код в запрос.

4yk Oct 24 at 05:50

Да, я тоже считал древностью, а потом наткнулись. И эта оказалась одной из самых простых. Дальше мы нашли более жуткие вещи.

В погоне за скоростью ответа в системе отчетности, где пользователь через конструктор может построить необходимый ему отчет, приходилось отказываться от орм, потому что запросы генерились, мягко сказать, не оптимальные. Получилось что, можно через пару ручек выстроить полноценный доступ до всей бд. И sast такое почти не отслеживает.

А про безопасность по умолчанию- это шишка, но чужие шишки не болят, пока похожие не появятся.

А еще, когда у тебя в проект толпа сеньоров, которые спорят о лучших практиках, архитектуре и других высоких материях в купе с борьбой за скорость релиза. Как-то простые базовые вещи уходят на второй план и молча лежат пока не выстрелят. Самое страшное, что очень часто подобные штуки лежат в сторонних пятизвездочных пакетах, и ты о них даже не догадываешься.

P.S. в оправдание могу добавить, что прежде чем публиковать, пришлось дать истории отлежаться длительное время. Иначе можно получить незапланированные пентест, а это не сильно хочется)))