Wawasan singkat tentang tinjauan kode

May 07 2023
Hai semuanya!! Saya harap Anda baik-baik saja. Mengapa blog ini? Ketika saya mulai mendapatkan keterampilan dalam pengujian penetrasi, bulan-bulan awal pembelajaran saya melibatkan menyalin-tempel muatan dan mereplikasi apa yang dilakukan orang lain.

Hai semuanya!! Saya harap Anda baik-baik saja.

Mengapa blog ini?

Ketika saya mulai mendapatkan keterampilan dalam pengujian penetrasi, bulan-bulan awal pembelajaran saya melibatkan menyalin-tempel muatan dan mereplikasi apa yang dilakukan orang lain. Saya tidak tahu bagaimana melakukan pentest/peretasan, ini membuat sebagian besar peretasan saya menjadi pengalaman yang tidak menyenangkan. Saya menyadari masalah yang jelas adalah pendekatan pembelajaran saya, saya terlalu sibuk menemukan kerentanan tetapi tidak pernah peduli untuk mengetahui alasan mengapa kerentanan itu ada.

Untuk mengubah pendekatan saya, saya mulai belajar sedikit pemrograman dan memulai alat pengkodean baik dengan Python atau Bash yang saya gunakan setiap hari. Ketika saya memulai magang pertama saya, saya mendesak senior saya untuk memberi saya proyek analisis kode sumber statis. Tidak hanya senior saya yang menugaskan saya proyek tersebut, tetapi mereka juga membantu saya menyelesaikannya dengan sukses dengan membimbing saya selama proyek berlangsung. Saat melakukan tinjauan kode pertama saya pada proyek yang sebenarnya, saya untuk pertama kalinya memahami mengapa ada kerentanan dalam aplikasi. Pengalaman ini memberi saya perspektif tentang bagaimana pengembang berpikir dan kesalahan apa yang biasanya mereka buat saat memprogram, inilah yang membuat saya mulai meninjau kode dan membantu saya menjadi lebih baik dalam keterampilan saya.

Saya tahu saya tidak sendirian untuk mengalami pengalaman ini dan masih banyak yang melakukannya sehingga saya memutuskan untuk menulis blog ini. Sekarang tanpa basa-basi lagi, mari kita langsung ke dasar-dasarnya, atau apa yang telah saya pelajari sejauh ini.

Apa itu tinjauan kode?

Peninjauan kode aman adalah proses pemeriksaan kode sumber aplikasi untuk meningkatkan postur keamanan aplikasi secara keseluruhan. Itu bisa otomatis (bahasa, kerangka kerja khusus) atau bisa manual. Tujuannya bukan hanya untuk mengidentifikasi kelemahan keamanan dalam kode sumber tetapi juga untuk memberikan mitigasi yang valid dan memperkenalkan praktik kode aman dalam siklus pengembangan untuk mencegah persiapan implementasi kode yang tidak aman.

Manfaat mempelajari tinjauan kode sumber:

  1. Memberi Anda pemahaman yang lebih dalam tentang bagaimana pengembang berpikir dan bagaimana fungsionalitas dapat dieksploitasi.
  2. Jika Anda seorang Pentester, Anda akan mengerti mengapa ada bug sejak awal.
  3. Ini membantu Anda menemukan lebih banyak bug dalam kehidupan nyata, sekarang Anda tahu bagaimana pengembang berpikir dan mengimplementasikan sepotong kode, Anda dapat menemukan solusi untuk fungsi yang sama dan mengeksploitasinya.
  4. Ini membantu Anda menemukan info sensitif yang terkait dengan target Anda, instans akut seperti kunci AWS, token autentikasi, kunci API, kredensial hardcode, file terbuka, dan banyak lagi.

Sebelum mempelajari cara meninjau kode yang tepat, pada hari-hari awal peninjauan kode saya, saya terutama berfokus pada kesalahan konfigurasi keamanan dan informasi sensitif yang dikodekan keras.

Pertimbangkan, jika kode target saya didasarkan pada ASP.NET, saya berfokus pada temuan utama seperti:

1. Info hardcode sensitif seperti kredensial, kunci API, token Rahasia, dll

Impor kode yang Anda ulas di editor kode apa pun (saya lebih suka Kode VS) dan mulailah mencari kata kunci seperti:

  • kata sandi / pwd / passwd / pass / kata sandi / admin_passwd / adminpasswd / adminPass
  • API_Key / apikey / api-key
  • Rahasia / Kunci_rahasia / skey / kunci pribadi / kunci_pribadi / pkey

2. Kesalahan konfigurasi keamanan

A. Kesalahan Kustom

Ambil XML di bawah ini sebagai contoh, di sini kami memeriksa apakah kode ASP.NET telah menerapkan penanganan kesalahan khusus, jika tidak, informasi sensitif dapat diungkapkan di sisi klien melalui pelacakan tumpukan atau kesalahan default.

  • Kode aman:
  • <configuration>
       <system.web>
          <customErrors mode="Off">
    

    <customErrors mode="RemoteOnly"  
      defaultRedirect="customerror.htm">  
        <error statusCode="404" redirect="customerror404.htm"/>  
    </customErrors>
    

  • Kode yang salah dikonfigurasi:
  • <configuration>
       <system.web>
          <httpCookies httpOnlyCookies="false">
    

    <configuration>
       <system.web>
          <httpCookies httpOnlyCookies="true">
    

Meninjau kode melibatkan keterampilan seperti pengenalan pola, pemrograman, identifikasi elemen/fungsi yang rentan dan banyak lagi. Ambil contoh di bawah ini:

...
string userName = ctx.getAuthenticatedUserName();
string query = "SELECT * FROM items WHERE owner = '" + userName + "' AND itemname = '" + ItemName.Text + "'";
sda = new SqlDataAdapter(query, conn);
DataTable dt = new DataTable();
sda.Fill(dt);
...

Kode di atas secara dinamis membuat kueri SQL di mana kueri mengembalikan data di mana "pemilik" cocok dengan nama pengguna. Dengan ini melakukan penggabungan langsung input pengguna "userName" dengan kueri SQL daripada menggunakan pernyataan berparameter untuk menghilangkan kerentanan injeksi SQL.

Idealnya, kueri SQL di atas harus dibuat sebagai berikut:

SELECT * FROM items WHERE owner = {{username}} AND itemname = {{itemName}};

payload' OR '1'='1

Pernyataan di atas akan menjadikan kueri terakhir sebagai:

SELECT * FROM items WHERE owner = 'Attacker' AND itemname = 'payload' OR '1'='1';

Kesalahan implementasi membuat potongan kode rentan terhadap serangan injeksi SQL.

Jadi, pertanyaan yang muncul adalah bagaimana Anda meninjau kode tersebut? Bagaimana Anda meninjau kode sumber dengan jutaan baris kode? Ini mungkin tampak luar biasa, tetapi percayalah, ada beberapa cara efisien untuk meninjau kode. Kami akan membahas lebih lanjut tentang ulasan kode di bagian selanjutnya dari seri ini. Sampai saat itu Anda dapat melalui utas Twitter yang saya posting untuk mempelajari ulasan kode sumber yang dapat Anda temukan di sini .

Saya telah membuat blog ini singkat dan sederhana untuk memberi Anda wawasan tentang apa itu review kode dan bagaimana Anda juga bisa memulainya. Saya akan berbagi lebih banyak dengan kalian segera.

## Referensi:

  • https://cwe.mitre.org/data/definitions/89.html
  • https://www.c-sharpcorner.com/UploadFile/a53555/owasp-sharp5-security-misconfiguration-hardening-your-Asp-Net-a/

Saya sendiri adalah pembelajar dan berbagi pengetahuan yang telah saya pelajari sejauh ini. Jika ada masukan baik itu kritik maupun apresiasi, saya terima dengan senang hati.

Temukan aku disini!!

  • mr_fr3qu3n533
  • Tulis surat untuk saya di sini.