Att upptäcka hårdkodade krypteringsnycklar i applikationer som Deepseek involverar en kombination av manuell inspektion och automatiserade verktyg. Här är ett detaljerat tillvägagångssätt för att identifiera sådana sårbarheter:
Manuell inspektion
1. Kodöversikt: Utvecklare bör regelbundet granska sin kodbas för alla hårdkodade värden, särskilt under felsökningsfaser. Detta inkluderar att inspektera kodkommentarer och dokumentation för känslig information som kan ha lämnats i kodbasen.
2. Peer Reviews: Implementering av peer reviews kan hjälpa till att fånga hårdkodade hemligheter tidigt i utvecklingscykeln. Denna process innebär att andra utvecklare inspekterar koden för potentiella säkerhetsrisker.
Automatiserad upptäckt
1. Statiska kodanalysverktyg: Använd verktyg som Black Ducks Rapid Scan Static, som kan analysera källkod för inbäddade hemligheter och känslig information. Dessa verktyg kan automatiskt upptäcka hårdkodade hemligheter över olika filtyper och format.
2. Binära analysverktyg: Verktyg som Black Duck Binary Analys (BDBA) kan skanna slutfraktprodukter eller behållarinnehåll för att hitta hemligheter i binärer och arkiv. Detta är särskilt användbart för att upptäcka hårdkodade nycklar i sammanställda applikationer.
3. Öppna källkodsverktyg: Uttagverktyg som Frida för dynamisk instrumentering och analys av appfunktioner vid körning. Frida kan användas för att ansluta sig till kryptofunktioner och verifiera om krypteringsnycklar är hårdkodade.
4. Hemliga skannrar: Använd verktyg som TruffleHog för att skanna kodbaser för hårdkodade hemligheter. Dessa verktyg är utformade för att identifiera mönster som matchar vanliga hemliga typer, till exempel API -nycklar eller krypteringsnycklar.
Specifika tekniker för Deepseek
Med tanke på de specifika sårbarheter som identifierats i Deepseek, såsom användning av osäker symmetrisk krypteringsalgoritmer (3DE) och hårdkodade nycklar, kan följande tekniker tillämpas:
- Reverse Engineering: Använd verktyg som Radare2 för att vända appen omvänd och identifiera krypteringsparametrar, inklusive hårdkodade nycklar och initialiseringsvektorer.
- Dynamisk analys: Anställ Frida för att ansluta sig till appens krypteringsfunktioner och verifiera närvaron av hårdkodade nycklar. Detta innebär att spåra CCCRYPT -samtal för att bestämma vilka data som krypteras och dekrypteras.
Genom att kombinera dessa metoder kan utvecklare och säkerhetsforskare effektivt upptäcka hårdkodade krypteringsnycklar i applikationer som Deepseek, säkerställa bättre säkerhetspraxis och skydda användardata.
Citeringar:
]
]
[3] https://www.bardeen.ai/answers/deepseek-data-privacy-and-security
]
[5] https://blog.ostorlab.co/hardcoded-secrets.html
[6] https://fpt-is.com/en/insights/deepseek-and-the-dangers-no-one-tells/
[7] https://securityScorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://blog.codacy.com/hard-coded-secrets
]