Добавить в корзинуПозвонить
Найти в Дзене
SecureTechTalks

📌 Уязвимость не всегда живёт в одном файле

Когда мы ищем баги в коде, самые опасные цепочки часто размазаны по десяткам файлов. Данные приходят через controller, проходят DTO, service layer, helper’ы, а потом внезапно оказываются внутри SQL-запроса, shell-команды или file API. На GitHub появился новый open-source инструмент от PhonePe "Nika". Инструмент строит полный путь движения данных через приложение, что делает анализ намного ближе к реальной эксплуатации. ⚙️ Что умеет Nika? Внутри: 🔹 строит межфайловый graph зависимостей 🔹 делает inter-procedural taint tracking 🔹 связывает source → propagation → sink 🔹 анализирует branch-aware изменения (полезно для PR review) 🔹 использует AI-assisted triage для сокращения false positives Поддерживаемые sink’и: • SQL execution • File system operations • Template engines • Reflection • Network requests • Deserialization points Для понимания, инструмент не про «подозрительные строки», а про реальные пути эксплуатации. Для security review больших Java codebase это особенно полезн

📌 Уязвимость не всегда живёт в одном файле

Когда мы ищем баги в коде, самые опасные цепочки часто размазаны по десяткам файлов. Данные приходят через controller, проходят DTO, service layer, helper’ы, а потом внезапно оказываются внутри SQL-запроса, shell-команды или file API.

На GitHub появился новый open-source инструмент от PhonePe "Nika".

Инструмент строит полный путь движения данных через приложение, что делает анализ намного ближе к реальной эксплуатации.

⚙️ Что умеет Nika?

Внутри:

🔹 строит межфайловый graph зависимостей

🔹 делает inter-procedural taint tracking

🔹 связывает source → propagation → sink

🔹 анализирует branch-aware изменения (полезно для PR review)

🔹 использует AI-assisted triage для сокращения false positives

Поддерживаемые sink’и:

• SQL execution

• File system operations

• Template engines

• Reflection

• Network requests

• Deserialization points

Для понимания, инструмент не про «подозрительные строки», а про реальные пути эксплуатации.

Для security review больших Java codebase это особенно полезно, потому что позволяет быстро понять, как именно пользовательский ввод проходит через бизнес-логику.

🤖 Интересный момент

После основного анализа Nika умеет прогонять findings через LLM и дополнительно фильтровать шум. Это хороший пример правильного применения AI в AppSec, т.к. AI здесь не ищет баги, а помогает понять насколько они эксплуатируемые.

🔗 Исходники:

https://github.com/PhonePe/nika

Stay secure and read SecureTechTalks 📚

#cybersecurity #appsec #devsecops #javasecurity #taintanalysis #securecoding #opensource #codeaudit #infosec #securetechtalks