Přeskočit na hlavní obsah

Škodlivý kód

  • Do kódu aplikace se mohou dostat škodlivé části kódu, jako jsou např. backdoors, které dokážou způsobit velké škody.
  • Checklist pomáhá s ověřením, zda se v aplikaci nevyskytuje škodlivý kód, jako jsou backdoors, nežádoucí funkce a další.

Architektura

  • Ověřte použití systému kontroly zdrojového kódu. Takový systém by měl mít kontrolu přístupu a identifikovatelné uživatele, aby bylo možné sledovat všechny změny.

Obecný checklist

  • Mělo by se zajistit, že kód neobsahuje žádný škodlivý kód nebo nežádoucí funkce.
  • Ověřte použití nástroje pro analýzu kódu, který dokáže odhalit potenciálně škodlivý kód nebo časové bomby.
  • Ověřte, zda zdrojový kód aplikace a knihoven třetích stran neobsahuje neautorizované funkce nebo časové a logické bomby nebo jiné logické chyby, easter eggs a nežádoucí funkce.
  • Ověřte, zda aplikace nevyžaduje zbytečné nebo nadměrné údaje nebo oprávnění.
  • Ověřte, zda aplikace neobsahuje zadní vrátka (back doors), pevně zakódované credentials, nedokumentované binární bloby, nezabezpečené funkce pro ladění nebo zastaralé a skryté funkce.
  • Ověřte získávání aktualizací zabezpečenými kanály v případě funkce automatické aktualizace.
    • Aktualizace by měly být digitálně podepsány.
  • Ověřte použití ochrany integrity (podepisování kódu). Aplikace nesmí načítat a spouštět kód z nedůvěryhodných zdrojů.
  • Ověřte ochranu aplikace před převzetím subdomény (subdomain takeover), pokud se aplikace spoléhá na DNS záznamy jako je např. expirovaná platnost.

Kam dál

Zranitelnosti