Pen-test (penetraciono testiranje) je pokušaj da provališ u sopstveni sistem pre nego što to proba neko drugi. Za svoje proizvode sam ga pretvorio u proceduru od 12 dimenzija koju sa AI asistentom prolazim pre svake velike objave. Lista je ispod, cela, da je primeniš na svoj sistem.
12 dimenzija, redom
- Prijava i sesije: pogrešne lozinke, zaključavanje, trajanje sesije, odjava svuda.
- Prava pristupa: da li korisnik A može da vidi podatke korisnika B promenom broja u adresi. Najplodnija dimenzija.
- Unosi: sve što korisnik kuca tretira se kao neprijateljsko: ubacivanje koda, predugi unosi, čudni karakteri.
- Fajlovi: šta se sme okačiti, kolika je granica, da li se sadržaj proverava, gde se čuva.
- Plaćanja i količine: negativne cifre, dupli zahtevi, izmena cene na putu.
- API ključevi: prava po ključu, gašenje, isticanje, šta ključ sme kad procuri.
- Spoljne veze: da li sistem može da se natera da sam pozove internu adresu (SSRF).
- Brzina i količina: šta se dešava pod bombardovanjem zahteva, gde je ograničenje.
- Logovi: da li se napad uopšte vidi, i da li u log cure lozinke i tokeni.
- Bekap i oporavak: proba vraćanja, ne postojanje bekapa. Bekap koji nije probno vraćen je molitva.
- Zavisnosti: verzije biblioteka sa poznatim rupama.
- Ljudska dimenzija: šta piše u porukama o grešci, šta vidi bivši zaposleni, ko sve ima admin.
Kako AI pomaže, a gde ne sme sam?
AI je odličan izvršilac provere: prolazi listu, generiše zlonamerne unose, čita logove i piše izveštaj. Ali dve stvari ostaju ljudske: odluka šta je stvarno rizik u kontekstu posla, i svaka provera na produkciji, koja se radi pažljivo i sa najavom. Automatski deo pokriva i moj Pen skener, koji osnovnu higijenu proverava svakog meseca sam.
Česta pitanja
Koliko često raditi ovakvu proveru?
Punih 12 dimenzija pre svake velike objave i bar dvaput godišnje. Osnovna higijena (sertifikati, zaglavlja, verzije) automatski, stalno.
Šta ako nemam pojma o bezbednosti?
Lista iznad je pisana baš da se prati bez ekspertize: svaka dimenzija je pitanje koje možeš postaviti svom programeru, agenciji ili AI asistentu. Loš znak je jedino ako odgovora nema.
Koja dimenzija najčešće obori sistem?
Druga: prava pristupa. Skoro svaki sistem koji sam testirao imao je bar jedno mesto gde promena broja u adresi otvara tuđe podatke.
Bezbednost nije stanje nego navika: lista, kalendar, i disciplina da se prođe cela, svaki put.


