Pen-test sopstvenih proizvoda sa AI: 12 dimenzija provere

Svaki moj proizvod pre velikih objava prolazi bezbednosnu proveru u 12 dimenzija, koju vodi AI po mojoj proceduri. Evo svih 12, da ih primeniš na svoj sistem.
Ilustracija: ogroman viteški štit kao spomenik u šumi, sitna figura ispod njega, zeleni tonovi
Share

Pen-test (penetraciono testiranje) je pokušaj da provališ u sopstveni sistem pre nego što to proba neko drugi. Za svoje proizvode sam ga pretvorio u proceduru od 12 dimenzija koju sa AI asistentom prolazim pre svake velike objave. Lista je ispod, cela, da je primeniš na svoj sistem.

12 dimenzija, redom

  1. Prijava i sesije: pogrešne lozinke, zaključavanje, trajanje sesije, odjava svuda.
  2. Prava pristupa: da li korisnik A može da vidi podatke korisnika B promenom broja u adresi. Najplodnija dimenzija.
  3. Unosi: sve što korisnik kuca tretira se kao neprijateljsko: ubacivanje koda, predugi unosi, čudni karakteri.
  4. Fajlovi: šta se sme okačiti, kolika je granica, da li se sadržaj proverava, gde se čuva.
  5. Plaćanja i količine: negativne cifre, dupli zahtevi, izmena cene na putu.
  6. API ključevi: prava po ključu, gašenje, isticanje, šta ključ sme kad procuri.
  7. Spoljne veze: da li sistem može da se natera da sam pozove internu adresu (SSRF).
  8. Brzina i količina: šta se dešava pod bombardovanjem zahteva, gde je ograničenje.
  9. Logovi: da li se napad uopšte vidi, i da li u log cure lozinke i tokeni.
  10. Bekap i oporavak: proba vraćanja, ne postojanje bekapa. Bekap koji nije probno vraćen je molitva.
  11. Zavisnosti: verzije biblioteka sa poznatim rupama.
  12. Ljudska dimenzija: šta piše u porukama o grešci, šta vidi bivši zaposleni, ko sve ima admin.

Kako AI pomaže, a gde ne sme sam?

AI je odličan izvršilac provere: prolazi listu, generiše zlonamerne unose, čita logove i piše izveštaj. Ali dve stvari ostaju ljudske: odluka šta je stvarno rizik u kontekstu posla, i svaka provera na produkciji, koja se radi pažljivo i sa najavom. Automatski deo pokriva i moj Pen skener, koji osnovnu higijenu proverava svakog meseca sam.

Česta pitanja

Koliko često raditi ovakvu proveru?

Punih 12 dimenzija pre svake velike objave i bar dvaput godišnje. Osnovna higijena (sertifikati, zaglavlja, verzije) automatski, stalno.

Šta ako nemam pojma o bezbednosti?

Lista iznad je pisana baš da se prati bez ekspertize: svaka dimenzija je pitanje koje možeš postaviti svom programeru, agenciji ili AI asistentu. Loš znak je jedino ako odgovora nema.

Koja dimenzija najčešće obori sistem?

Druga: prava pristupa. Skoro svaki sistem koji sam testirao imao je bar jedno mesto gde promena broja u adresi otvara tuđe podatke.

Bezbednost nije stanje nego navika: lista, kalendar, i disciplina da se prođe cela, svaki put.

Ilustracija: zid-slagalica kome nedostaje deo, čovek postavlja crveni deo

Šta AI i dalje ne ume (i gde me je koštao)

Prev
Ilustracija: osoba drži na kanapu balon u obliku robota, topao narandžasti zalazak

AI sme da piše, ali ne sme da objavi: kako držim AI na uzici

Next
Comments
Add a comment

Leave a Reply

Your email address will not be published. Required fields are marked *

Koristan sadržaj
Koristan sadržaj
Koristan sadržaj
Stay in the Loop
Koristan sadržaj
Upiši svoj mejl i jednom kvartalno šaljem ti koristan sadržaj.