Yazılımda nasıl açık aranır?

453476 · 19 Mayıs 2021

Merhaba dostlar,

Yazılımımda açık aramak istiyorum. Nasıl arayabilirim? Bunun için injector tarzı bir şey var mı?

300319 · 19 Mayıs 2021

Açıkların türleri var.

Arayüz açıkları, kaynak kod açıkları, güvenlik açıkları, farklı fonksiyon verip çökertme gibi tipleri var.

390845 · 19 Mayıs 2021

Genellikle bir yazılım gibi birşey vardır. O yazılım sitenin vs açıklarını arar. Deneme yanılma yöntemi gibi. (Pek bilgim yok)

24099 · 19 Mayıs 2021

Sorun çok yüzeysel. Buna doğrudan cevap vermek olmaz, verilemez.

Yazılım ama hangi yazılım? Ne türde bir yazılım? Hangi dilde yazılmış, hangi şekilde packlenmiş, hangi şekilde derlenmiş, hangi mimari kullanılmış? Kullanıcıdan veri alınmış mı yoksa alınmamış mı? Hangi fonksiyonlar ve kütüphaneler kullanılmış? Dışarıya bağlantı var mı yok mu? Varsa bağlanılan sunucu yeterince güvenli mi? Ne için yazılmış? Neden yazılmış? Algoritması nasıl? Program ne yapınca hata veriyor, ne yapınca düzgün çalışıyor? Bu ve bunun gibi soruları irdelemek gerekiyor.

Neye bakacaksan genelde inceleyip uygun şekilde bakman gerekiyor. Genellikle bu süreç manuel işler, otomatize araçlar pek işe yaramaz.

İnjector veya program vesaire ile olacak bir şey olsaydı zaten en başta programı yazan kişi kendi programında açık var mı diye bakardı.

Sen mümkün mertebe güvenli kod yazmaya çalış, gerisi için de uzman bir şirketten danışmanlık al.

453476 · 19 Mayıs 2021

24099 dedi:
Sorun çok yüzeysel. Buna doğrudan cevap vermek olmaz, verilemez.

Yazılım ama hangi yazılım? Ne türde bir yazılım? Hangi dilde yazılmış, hangi şekilde packlenmiş, hangi şekilde derlenmiş, hangi mimari kullanılmış? Kullanıcıdan veri alınmış mı yoksa alınmamış mı? Hangi fonksiyonlar ve kütüphaneler kullanılmış? Dışarıya bağlantı var mı yok mu? Varsa bağlanılan sunucu yeterince güvenli mi? Ne için yazılmış? Neden yazılmış? Algoritması nasıl? Program ne yapınca hata veriyor, ne yapınca düzgün çalışıyor? Bu ve bunun gibi soruları irdelemek gerekiyor.

Neye bakacaksan genelde inceleyip uygun şekilde bakman gerekiyor. Genellikle bu süreç manuel işler, otomatize araçlar pek işe yaramaz.

İnjector veya program vesaire ile olacak bir şey olsaydı zaten en başta programı yazan kişi kendi programında açık var mı diye bakardı.

Sen mümkün mertebe güvenli kod yazmaya çalış, gerisi için de uzman bir şirketten danışmanlık al.

Python ile yazılmış masaüstü yazılımı hocam. Kodlarını gizleyeceğim ama yine de açık arayacağım kodlara erişim konusunda.

Bilgim yettiği kadar açık bırakmamaya çalışıyorum. Teşekkürler.

390845 · 19 Mayıs 2021

Dediğim gibi çok bilgim yok.

257106 · 19 Mayıs 2021

Bildiğim kadarıyla Cython ya da benzeri kütüphanelerle native koda çevirmediğiniz sürece Python'da kodlar tamamen gizlenmiyor.

24099 · 20 Mayıs 2021

453476 dedi:
Python ile yazılmış masaüstü yazılımı hocam. Kodlarını gizleyeceğim ama yine de açık arayacağım kodlara erişim konusunda.

Bilgim yettiği kadar açık bırakmamaya çalışıyorum. Teşekkürler.

Açık derken kast ettiğin şey nedir? Programın üzerinden kod yürütülmesi gibi şeyler mi mesela? Yoksa programın kaynak kodlarının açığa çıkmasını mı engellemeye çalışıyorsun?

Eğer ilk seçenek ise mümkün mertebe eval() gibi yapıları kullanmaktan kaçınmalısın mesela en basitinden. İkinci seçenek ise zaten güvenliği ilgilendiren açıklarla alakalı bir şey değil, o farklı bir mevzu.

453476 · 20 Mayıs 2021

24099 dedi:
Açık derken kast ettiğin şey nedir? Programın üzerinden kod yürütülmesi gibi şeyler mi mesela? Yoksa programın kaynak kodlarının açığa çıkmasını mı engellemeye çalışıyorsun?

Eğer ilk seçenek ise mümkün mertebe eval() gibi yapıları kullanmaktan kaçınmalısın mesela en basitinden. İkinci seçenek ise zaten güvenliği ilgilendiren açıklarla alakalı bir şey değil, o farklı bir mevzu.

Programın kaynak kodlarını engellersem tüm açıkları gidermiş olurum.

24099 · 20 Mayıs 2021

453476 dedi:
Programın kaynak kodlarını engellersem tüm açıkları gidermiş olurum.

Hayır.

Bu oldukça yanlış bir bakış açısı. Kapalı kaynak olup da açık kaynak yazılımlara göre çok daha fazla güvenlik açığı barındıran yazılımlar var.

İş güvenlik tarafında o şekilde işlemiyor. Kaynak kodların incelenmesi açık bulma sürecini hızlandırıyor evet, fakat açıklı kodları gizlemek bu açıkların kapatılmasını sağlamıyor kesinlikle. Alakası yok hatta.

Yazılımda nasıl açık aranır?

453476

Megapat

300319

Zettapat

390845

Hectopat

24099

Petapat

453476

Megapat

390845

Hectopat

257106

Decapat

24099

Petapat

453476

Megapat

24099

Petapat