Sådan hacker du din egen kode – før andre gør det

Hvis du skriver kode, skriver du også potentielle sårbarheder. Derfor er en af de mest effektive måder at forbedre sikkerheden i dine løsninger på at lære at tænke og handle som en angriber – inden nogen andre gør det. 

Ved at anvende principper fra ethical hacking på din egen kode får du en mere realistisk og systematisk tilgang til sikkerhedstests – og bedre forståelse for, hvor dine løsninger er mest udsatte. 

Simuler angreb med offensive teknikker

Ethical hacking handler ikke kun om penetrationstests. Det handler om at forstå og anvende konkrete angrebsmetoder som en del af udviklingsprocessen. Her er nogle af de teknikker, du som udvikler med fordel kan simulere selv: 

Inputmanipulation og injection

Test dine endpoints med klassiske payloads som '; DROP TABLE users; –’ eller ‘<script>alert(1)</script>’ for at identificere SQL-injection og XSS-sårbarheder.

Adgangskontrol og autorisation

Prøv at tilgå API-ruter eller data, du ikke burde have adgang til. Manipulér JWTs, session cookies og user roles direkte – fx med tools som Postman eller Burp Suite.

Fejlhåndtering og informationslæk

Prøv bevidst at fremprovokere fejl for at se, om stack traces, debug-info eller systempaths bliver eksponeret. Ofte er det nok til at afsløre teknologier, framework-versioner og interne strukturer.

Client-side manipulation

Undersøg, hvad der sker, når du manipulerer DOM’en, browser storage eller JS-kode direkte via DevTools. Manglende validering og synlig logik på klientsiden er hyppige angrebsmål.

Træn dine færdigheder i et sikkert miljø

Et godt sted at starte er OWASP (Open Web Application Security Project) Juice Shop – en open source – et træningsmiljø fyldt med realistiske kendte og ukendte sårbarheder, der minder om dem, du møder i rigtige applikationer. Her kan du bl.a.: 

• Exploite utilstrækkelig inputvalidering, CORS-konfigurationer og Broken Access Control
  
  
• Lave CSRF-angreb og udforske brute force-scenarier
  
  
• Udforske de nyeste kategorier i OWASP Top 10 – fx Insecure Design og Software Supply Chain Risks

Du kan køre Juice Shop lokalt som Docker-container og kombinere det med tools som ZAP Proxy eller Burp til realtidsovervågning og analyse. 

Integrer offensive teknikker i din udviklingsproces

Offensiv tænkning bør integreres i udviklingsprocessen – ikke gemmes til efter release. Det giver langt mere værdi at tænke offensivt under udviklingen, og det bør derfor være en del af din udviklingspipeline – side om side med enheder, integrationstests og sikkerhedsscanninger. 

Overvej fx at indføre:

• Sårbarhedsscan som del af CI/CD, fx med tools som Snyk, OWASP Dependency-Check eller GitHub Advanced Security.
  
  
• Code reviews med fokus på sikkerhed, hvor kolleger aktivt forsøger at finde sårbarheder i hinandens kode (red team mindset).
  
  
• Pre-commit hooks, der fanger credentials, secrets og kendte mønstre på farlig kode.