Хей Хакерноун, Кувгуап тут
Вгадай що? у мене є іспити за два дні. Так, фактичні університетські іспити. І що я думаю про 24/7? RAWPA(Мій асистент з тестування проникнення). Мій проект пристрасті повністю викрав мій мозок, і я не мав би його іншим способом.
Отже, поки я повинен запам'ятовувати лекційні ноти, я думав, що я зроблю вас швидше на дикій їзді останніх декількох тижнів. перш ніж зануритися в помилки і нову функцію, я повинен сказати - я чесно думаю, що номер один навик в будь-якій технічній кар'єрі - дебютування.
Це не просто про пошук помилок; це про аналіз проблем, розуміння та вирішення. це суперсила. Це круто створювати щось нове, але вміти виправити те, що зламано - будь то ваш власний код або цільова система - це місце, де відбувається справжня магія.
В будь-якому випадку, давайте зануримося в помилки і божевілля.
Моя перша помилка: «Реагувати на що?» UI
Я ніколи не робив жодного справжнього дизайну UI / UX до цього проекту. я подивився кілька відео на YouTube, надихнувся на чистий вигляд Whimsical (інструмент, який я використовував для драйвера), і тільки почав ... малювати.
Немає чутливості пристрою. Немає конкретних розмірів екрану. Просто прямокутники на екрані. Він виглядав добре на моєму комп'ютері з розробки, тому я думав: "Корабель!" Кілька тижнів тому тестер по праву відзначив, що мобільний погляд був повністю зламаний. Я провів два повних дні, розмиваючи цю плутанину і роблячи додаток дійсно чутливим. Урок навчився: подумайте про всі екрани з першого дня.
Буг, який закрив RAWPA
Більше того... приблизно два дні тому я помітив, що функції на RAWPA провалилися. Методології не завантажувалися, а інші дані були відсутні.
FirebaseError: [code=resource-exhausted]: Quota exceeded.
Я вбив16,000 reads and 20,000 writesв один день. Це вся безкоштовна квота на Firebase. З лише 33 користувачами, це було божевільно. Я був тупим. Я міг або чекати день, щоб квота була відновлена, або я міг покласти на свій детективний капелюх і дебаг.
Серія логічних помилок, народжених з пізньої ночі кодування сеансів.
-
The Infinite Loop: I had created a function that continuously checked Firestore for updates, in case I used my admin panel to disable a methodology. It was a dumb, brute-force way to solve a problem, and it was hammering the database.
-
Sleepy-Dev Syndrome: The new feature I was building needed to save its state. Instead of using
localStoragefor frequent, small updates, I was writing to Firestore on every single change. Why? Because I was sleepy and not thinking straight.
Крім того, додаток завантажував всі функції Firestore на стартап, створюючи чергу, що призвело до божевільних часів завантаження - іноді до 10 секунд. я знав, що виправлення, ймовірно, кешується з чимось подібним до Redis, але я сумнівався.
Я все одно зробив це. - Зізнаюся, що зробив.Upstash RedisІноді, я хотів би, щоб я почав з Next.js, але після невдалої спроби мігрувати, я дотримуюся з моїм React + Vite налаштування і робить це працювати.
Нова функція, народжена з реального Pentest
Отже, яка була ця нова функція, яку я будував, що спричинила весь хаос?
Це почалося, коли я працював над метою від HackerOne. я використовував свій інший інструмент, AAweRT, для розпізнавання і зрозумів, що мій процес мислення повністю змінився з моменту створення RAWPA. У мене було 79 субдоменів, щоб перевірити.
Я знайшов цікаві кінцеві точки і потенційні вразливості, але у мене не було організованого способу відстежувати їх, не втрачаючи основного напрямку думки.
Введення вHunter's Board.
Це дошка стилю Kanban, побудована безпосередньо в RAWPA, розроблена для того, як думає пентестер. Ви можете створювати карти для чого завгодно: доменів, методологій, висновків, звітів, кодових фрагментів, інструментів, ви це назвете.
Коли я перевіряв ці 79 субдоменів, я розробляв цю дошку.Я знайшов нефільтрований параметр пошуку на одній кінцевій точці - обхід основного фільтра UTF-8 - і відразу ж створив картку для нього, додавши посилання і мої зауваження.
The Hunter's Board тепер живий на сайті! Ви можете перевірити це прямо зараз.
Як швидке оновлення, я тимчасово видаливRAWPA AIтаPentest OrchestratorЯ повинен оптимізувати їх і виправити деякі проблеми заднього кінця, перш ніж вони будуть готові до першого часу, і я хочу, щоб досвід користувача був ідеальним.
Чи згадав я про те, що я маю іспити через два дні? Уж. Я спробую опублікувати кілька додаткових оновлень, перш ніж я піду в темряву для навчання.
До наступного разу пам'ятайте, що RAWPA - це спільний проект. Якщо у вас є ідеї, відгуки або ви хочете внести свій внесок, скористайтеся функцією "Contribute" на сайті або зв'яжіться зі мноюЛінконгПерегляньте проект наhttps://rawpa.vercel.app/.
Мозок тільки починає працювати.
