🔍 Milyen gyakran érdemes sebezhetőséget keresni?
Egyszeri vizsgálat? Éves pentest?
Ha csak ennyit csinálsz, akkor gyakorlatilag a támadók jobban ismerik a rendszeredet, mint te.
A sebezhetőség nem statikus – hanem folyamatosan változó állapot.
Ezért nem elég néha ránézni.
⏱️ Mikor keress sebezhetőséget?
🧱 Új rendszer bevezetésekor
Mielőtt élesbe megy egy weboldal, alkalmazás vagy infrastruktúra, mindig érdemes:
- belső kódellenőrzést (code review)
- sérülékenységszkennert
- vagy akár etikus hackert bevonni
🧬 Minden jelentős frissítés után
Akár egy új plugin, akár egy frissített könyvtár is hozhat be új sérülékenységet.
📅 Rendszeresen – időzített vizsgálatokkal
- Negyedévente vagy havonta automatikus szkennelés
- Évente manuális pentest vagy külsős audit
📉 Mi történik, ha túl ritkán vizsgálsz?
- A támadók előbb találnak meg, mint te
- A sérülékenység ott van heteken vagy hónapokon át
- Későn jössz rá – már csak az okozott kárt látod
🛠️ Milyen eszközökkel vizsgálhatsz?
✅ Automatizált szkennerek
- OWASP ZAP, Nessus, Nmap, OpenVAS
- Alkalmasak alacsony és közepes szintű hibák gyors szűrésére
✅ Pentest / Red Team
- Etikus hacker vizsgálja a rendszeredet úgy, ahogy egy támadó tenné
- Nem csak sebezhetőségeket keres, hanem tényleges kihasználást tesztel
✅ CI/CD integráció
- Ha van fejlesztési pipeline-od: építs be
SAST,DAST,SCAeszközöket - Így minden új verzió automatikusan átesik ellenőrzésen
💡 Tévhit: „Nincs időnk / nem prioritás”
A támadóknak viszont van idejük.
És nekik nem kell engedélyt kérniük.
Minden új telepített modul, csomag, vagy frissítés potenciális kapu.
A kérdés nem az, hogy van-e sebezhetőség – hanem hogy megtalálod-e időben.
🧠 Összefoglalva
- Sebezhetőséget rendszeresen, automatikusan és manuálisan is keresni kell
- Ne csak projektek végén, hanem az életciklus során folyamatosan
- Aki időben látja a hibát, az nem krízist kezel – hanem megelőz
A védekezés nem esemény – hanem folyamat.
➡️ Következő ajánlott cikk: Mi az a bug bounty, és hogyan lehet olcsóbb, mint egy audit?