少し古いコードの研究の物語

チームで経験を積んだ人が、何をどのようにすればいいのか、どのレーキと角度を付け、2007年の自転車の最高の図面をDVDでダウンロードする場所を教えてくれると便利です。 この物語は、願いがどのように有効であったか、結果として何が判明したか、そしてどのように危機が克服されたかについてです。



これは、私には開発の平凡な経験があるように思えたときに起こりました。私は、ジュニアから自信のないジュニアまで進化（または突然変異）できる場所を探していました。 主の神秘的な方法で、そのような場所が見つかり、プロジェクトがその場所に取り付けられ、システムでの彼の経歴について女の子よりも多く書いた「古い学校」のプログラマー。 「すごい！ プロジェクト、したがってRFPにお金があり、メンターが付きます、私たちは生きています！」と思ったが、典型的な恐怖の説明のように、暗闇のヒーローは恐ろしい恐怖に直面した...



まず最初に：

1.サイズが重要

開発は、かつて誰かが書いたphpエンジンで始まり、データを保存するために使用されていました（ここでは、MySQL \ PostgreSQL \ SQLite \ MongoDB \ Something-else- but-necessarily-with-DB-suffix-otherwise-みんな理解していませんが、彼らは推測しませんでした）api-gateway。



「ハハ、phpを使用して、別のAPIゲートウェイをアタッチし、データを保存しますか？ APIをjs-codeから直接操作する方が簡単ではありませんか？ または、DBMS + PHPを使用しますか？」 そして彼は正しいでしょう。 しかし、当時、私は種をまだ見ていなかったので、そうは思いませんでした。知っている人は、クールな人はおそらくそうするでしょうし、「古い学校の」プログラマはよく知っています。



さらに説明したように：

1. ゲートウェイ=セキュリティ、そのような人は出入りしません
2. ゲートウェイ=セキュリティで保護されたデータストレージ、アクセスできない、+バックアップ
3. ゲートウェイ=速度、迅速に機能し、障害なく、タイムテスト済み
4. 「昔ながらの」プログラマーの権威ある観点は、あなたのphpが穴だらけで、すべてのWebアプリケーションがデフォルトでハッキングされているため、その隣にデータを保存するものがないことです。

APIゲートウェイの特徴は、jsonデータがgetリクエストで送信されたことです。 はい、はい、これらの非常に美しいjsonオブジェクトはurlエンコードの対象となり、クエリ文字列に入れられました。 そして、突然、ある日... getリクエストの長さが十分でなくなったとき、すべてがうまくいくでしょう。 愚かなことに、URLエンコードされたJSONはそこに収まりませんでした。 「昔ながらの」プログラマーは頭をかいて、次のように尋ねました。

「ショーはやる？ jsonは成長しましたが、気づいていません...」

「じゃあ、多分、ポストに投稿するの？」と提案したので、それはもっと正しいようです。

「わかりました、投稿してください。」

それはatasナンバーワンでした。

2.時間とバックアップの管理

プロジェクトに新しい機能を組み込むには、実装する必要がありました

ゲートウェイ上の対応するCRUDリクエスト。これは、まさに「古い学校」の同志が実際に行ったことです。 問題は、彼が3日ごとに1回これを行って、「完了、確認」ということでした。 時々チェックは、すべてが機能しなかったことを示しました。例えば、リストを取得することは問題ありませんが、新しいアイテムを追加することは問題ではありません。 修正と改良に時間がかかり、その後、大量アクセスで機能をリリースすることができました。 ゲートウェイ上でクエリの実装を自分で行うという提案は、少なくとも高速であるため拒否されました。「そこは難しいので、あなたはそれを理解できないからです」。 このアプローチの結果、「自分自身で」作業が終了しました。 たとえば、データベース内の何かをまとめて修正する必要がある場合、3日間待機するか、クエリを使用して自分で修正を実装するかを選択します。2番目のオプションを選択しました。 顧客は特に待つことを好まなかったため、新しい入門書は安定して飛びました。 そのような紹介的なものの1つ、つまり特定の標識のユーザーに標識を大量に貼り付けることは、私に実装を任せられました。 ここで私たちを待っています。



事実、リクエストで送信されるjsonデータの形式は、いくつかの必須フィールドのみを暗示し、残りはすべてarbitrary意的であり、明確で最終的な構造は存在しませんでした。 たとえば、ユーザーを追加するには、次の形式のJSONを渡しました。

POST /api/users { "email":"ivanov@mail.ru", "password":"myEmailIsVeryBig", "name_last":"", "name_first":"", "name_middle":"", "birth":"01.01.1961", //     ,    -    "living_at":"., .3 .4 .24", "phone_num":"+70000000000" }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

追加/更新リクエストで送信されたオプションの部分は保存され、全体が提供されました（これがどのように実装されたかについては後述します）。 結論は、時間が止まらないということです。問題を解決する必要があります-ユーザーを更新し、ラベルを貼る。 しかし、構造全体を毎回運転しないのですか？ チェックする必要があります！ 自分でテストしました-更新要求で1つのフィールドのみを送信し、チェックし、フィールドが表示され、残りのデータが配置されました。 ポイントは小さい-ループし、残りを更新します。



スクリプトはソフトに膨らみ、データを送受信し、すべてが順調に進んでいるように見えました...突然のとき-呼び出し。 「システムにユーザーの名前は表示されません！」-ワイヤのその端からのレポート。 「さあ！ うまくいきました！」-不快な寒さが私の背中を駆け巡りました。 さらなる調査の結果、実際には、名前に「」が含まれていることが示されましたが、他のすべてのデータは存在していました。 そのような状況で何をすべきか？ バックアップを展開してください！



「同志」の古い学校の「プログラマー、wi hev er問題hir！ バックアップが必要です！ 最新の関連はいつ行われますか？」-私は尋ねます。



「うーん...今すぐ見ます.... いいえ、バカパはありません。」



数時間前にレポートでモジュールを完成させてテストし、必要なすべてのデータを含むcsv-boxを持っていて、さらに1時間以内に順序が復元されたという事実によって、状況は救われました。



わかりやすいドキュメントの欠如、操作アルゴリズムの説明、入力の妥当性チェック、そして最も重要なこと-データベースのバックアップ-atas number 2-s。



それ以来、バックアップは毎日削除され始めました。

3.深打

揺れますが、作業が動き、問題が解決され、いくつかはより速く、いくつかはより遅く、突然...システムは誰かのサーバーに理解されていないことに気づきました。そして、PDとISPDでZIアクティビティを組織するという態度に対して彼らは頭をなでません。 サーバーを自分に転送する必要があります。



システムが最初に転送されなかったのはなぜですか？ リーダーシップには情熱がありました-集中化。 経営陣は、すべてを行うシステムを夢見ていました！ 子供を学校に連れて行く必要がありますか？ あなたは特別なオフィスでシステムに入り、そこで申請書を提出します。 たとえば、ピザを注文する必要があります。システムに入り、別の特別なオフィスに行き、ピザを申請します。 たぶん、あなたは美しい女性/紳士とコミュニケーションを取りたかったのですか？ あなたのサービスには3番目の特別なキャビネットがあります-あなたもそこに申請書を提出しています。



利点-すべてに対して1つのログインとパスワード、データがゲートウェイに安全かつ安全に保存されます。 バックアップもあります。 そして、心に留めて、誰も私たちからこのシステムを取りません！ そして、それがそれを取り除いても-次は何ですか？ それでも、彼らは「古い学校」のプログラマーに対する保護システムを理解しません。そこではすべてが複雑です。



システムを備えたVDSはアンロードされ、顧客に帰され、彼らはそれを展開し、皆が踊り、歌い、美しさを発揮しました！



そして、好奇心と疑念の波が私を覆いました。



Webアプリケーションに穴がいっぱいある場合、データはどこにありますか？ 本当に他のサーバーにとどまっていますか？ そして、彼らが外部からシステムを閉じることに決めた場合、すべてが崩壊しますか？



簡単なチェックで、データとゲートウェイプロセッサ自体が同じサーバー上にあることがわかりました。 そして、いいえ、それらはサーバーの転送のためにそこに転送されませんでした、彼らは常にそこにいました。

今、私は研究のために設定した非常に秘密の「古い学校」の開発を自由に使用できました。 もちろん、ollydbg、オフセット、およびその他のクールなものを含む、Hackerマガジンの記事スタイルのクールなリバースエンジニアリングは機能しなかったので、私が持っているものを共有します。

開発自体はpythonで実装され、簡単に逆コンパイルして読み取り可能なコードに戻すことができる.pycファイルのみがありました。 率直に言って、それがどのように機能するかを理解するのに多くの時間、25分もかかりました。



したがって、「古い学校」のプログラマーによって開発された複雑なシステムは、ほとんど理解できませんが、次のもので構成されています。

1. 実際にリクエストを受信したApacheによって処理されたスクリプト。 このスクリプトは何をしましたか？ 特定のlocalhostポートへの接続を開き、そこにすべてのデータを含む要求を渡しました。 それだけです 興味はさらに進みます。
2. スクリプトからのリクエストを処理したサーバー部分。 彼の行動の論理は非常に興味深いものでした。 まず、コードにはデータ操作がなく、データベースにはクエリがありませんでしたが、PL \ SQLのデータベース関数が呼び出されました。 すべてのロジック、チェックなど、すべてがデータベース関数に配置されました。 スクリプトの50％は、要求の名前、それにマップされた関数、およびget-request行で渡されたデータに対応する関数パラメーターの名前を含む辞書でした。 JSONデータは、必要に応じて、別個のパラメーターとして渡されました。 サーバー部分の組織の特徴は、ユーザー認証中のバックアップ接続でした。 データベースでログインとパスワードが見つかった場合-セッションIDが生成され、開いている接続インスタンスが辞書に追加され（10分のタイムアウトで強制終了されたため、強制終了されません-セッションの寿命を延ばす特別な方法がありました）、キーはデータベースに直接あるセッションIDでした保存されません。 セッションIDはユーザーデータにどの程度正確に関連付けられていますか？ 結局のところ、ユーザーIDが送信されないデータの要求はありますか？ これは機能します。つまり、ここで何かが間違っているということです。

非常に困難な開発は、困難を伴う意識に与えられ、過去の巨匠の長く失われた秘密を明らかにするために急いでいませんでした。



それにもかかわらず、信じられないほど（定義へ移動、PL \ SQLを理解してくれたPhpStormに感謝）、オールドスクールプログラマーの失われた文明の真の知識に苦しんでいる素人の心には理解できませんでした。 一般に、接続すると、認証データ検証機能で一時テーブルが生成され、ユーザーIDが保存されます。



これはほんの始まりに過ぎず、見つかった深刻な脆弱性の指標リストです。

• 一括認証を使用したDDoS（接続は予約されていたため、DBMSの接続制限に基づいていたため、セッションの有効期間が延長される可能性があるため、メモリを接続で完全に満たすことができ、システム内の新しいユーザーの作業は不可能になりました）;
• 総当たり攻撃に対する保護の欠如（失敗したログイン試行の数は検出されず、保存されず、チェックされません。
• エンティティを使用したアクションの制御の欠如（たとえば、ユーザーが要求するドキュメントのリストは、ユーザーが関連付けられている組織を考慮して発行されたものであり、ドキュメントのIDがわかっている場合は、ドキュメントの更新/削除のリクエストを正常に完了でき、ユーザーのリストはなくてもよいちなみに、ハッシュなしでオープン形式でデータベースに保存されたパスワードは、だれでも受信できました）。

また、別の深刻な問題は、正式なデータストレージスキームではありません。 前に約束したように、JSONから「任意のフィールド」を保存することについて話しています。 いいえ、テーブルの行として保存されていません。 それらはキーと値のペアに分割され、別のテーブルに保存されました。 たとえば、ユーザーの場合、ユーザーと、users_data（文字列キー、文字列値）の2つのテーブルがあり、データが実際に保存されていました。 このアプローチの結果は、データベースからの複雑なサンプルの時間の増加でした。



実際、これは、システムを新しいAPIに移行し、理解しやすく、文書化され、サポートされるという決定を下し、実装するのに十分でした。

道徳

おそらく、このシステムは「レガシー」であり、それを作成した「旧来の」プログラマーはレガシーの保護者です。



それにもかかわらず、結論は次のとおりです。

1. 「そこは難しい、理解できない」と言われたら-完全なatasがあります
2. 彼らが権威によって押しつぶされるなら、何かが汚れている
3. 信頼しますが、確認します-セキュリティは状態ではなく、セキュリティはプロセスであり、さらに継続的です。したがって、すべてのユーザーが突然「Ivanov Ivanov Ivanitch」になったが、bacapsがないことを知るよりも、宣言された品質が正しいことを確認する方が良いです