Перейти к содержанию

Описание изменений за 2024 год

v24.25.1 — 30.01.2025

Серверная часть

Исправления

  • Исправлена ошибка, из-за которой пользователи с ролями «Пользователь» и «Администратор» не могли удалять отчёты.

v24.25 — 31.12.2024

Панель управления

Исправления

  • Исправлена ошибка, из-за которой суперадминистратор не мог добавить цель, если цель с таким адресом уже существовала в другой организации.
  • Для суперадминистраторов убрана кнопка повтора сканирований, относящихся к другим организациям.

Серверная часть

Добавлено

  • В перечислимый параметр locale в теле запроса POST /api/scans/reports добавлено значение zh_CN.
  • Добавлен query-параметр within_tenant для запроса POST /api/targets/wizard/exist. Теперь cуперадминистратор может видеть как локальные цели, так и цели всех организаций.
  • Добавлен сервис отчетов сканирований, который умеет создавать, предоставлять и синхронизировать отчеты.
  • Запросы API, отвечающие за взаимодействие с отчётами, добавлены в группу запросов API, отвечающую за работу со сканированиями.

Исправления

  • Исправлена ошибка, при которой не отображались конечные точки при отсутствии ресурсов.

Интерфейс командной строки SolidPoint CLI

Добавлено

  • Добавлена поддержка новых ресурсов, точек входа и уязвимостей.

Модули сканирования

Исправления

  • Для сканера SQL-инъекций исправлена ошибка, при которой в отчёте указывался неверный идентификатор CWE.

v24.24 — 17.12.2024

Панель управления

Добавлено

  • Добавлено всплывающее уведомление, отображающееся при отправке запроса на генерацию PDF-отчёта.
  • Добавлено окно подтверждения удаления сгенерированного PDF-отчёта.
  • Для суперадминистраторов добавлена валидация адреса электронной почты при редактировании его в профиле пользователя.
  • В PDF-отчёты добавлены разделы «Потоки данных» и «Дополнительная информация».

Исправления

  • В графике «Динамика уязвимостей» исправлено отображение чисел по вертикальной оси. При малом числе обнаруженных уязвимостей на ней больше не отображаются дробные значения.
  • Исправлено согласование заголовков модальных окон подтверждения групповых операций в русскоязычных интерфейсах.
  • Для суперадминистраторов исправлено поведение интерфейсов при запуске сканирований для целей, относящихся к другим организациям.

Серверная часть

Добавлено

  • Добавлена поддержка дирбастинга.
  • Дополнено описание логики API.

Изменения

  • Теперь запрос GET /api/severity-trend при отсутствии данных динамики уязвимости возвращает значение null вместо «пустых» объектов.
  • Теперь серверная часть использует код ответа 202 при неоднозначных действиях пользователя, например, при попытке поставить на паузу уже остановленное сканирование.

Сканер fuchsiad

Исправления

  • Для консольного клиента fuchsiactl теперь поддерживается передача файлов-параметров (указываемых с помощью опции --file) свыше 4 МиБ.

Модули сканирования

Изменения

  • Теперь для сканера SSTI нахождение среднего времени ответа прекращается, только если тайм-аут был на первой итерации, иначе количество оставшихся пробных запросов уменьшается.

Исправления

  • Для сканера уязвимостей загрузки файлов устранены ложноположительные срабатывания, связанные с векторами атаки, которые валидируются с помощью проверки времени ответа от сервера.

Модуль анализа клиентского JavaScript-кода

Добавлено

  • Добавлена поддержка моделирования работы некоторых JavaScript-функций для повышения покрытия анализа.

Исправления

  • Улучшена стабильность работы модуля.

v24.23.1 — 10.12.2024

Панель управления

Исправления

  • Исправлено отображение графика «Динамика уязвимостей» при нулевом количестве найденных уязвимостей за выбранный период.

v24.23 — 03.12.2024

Панель управления

Добавлено

  • На главной странице добавлен график с отображением динамики уязвимостей за последний календарный месяц.

Изменения

  • В формах аутентификации и регистрации формат адреса электронной почты теперь проверяется по снятию фокуса с поля ввода.

Исправления

  • Исправлена валидация формата при смене адреса электронной почты в профиле пользователя.
  • Исправлена ошибка, из-за которой неверно определялось существование цели при создании цели или сканирования. Теперь проверка существования таких целей производится по мере ввода адреса.

Серверная часть

Добавлено

  • Добавлено дополнительное журналирование для миграций базы данных.
  • Добавлена логика по созданию сканирований с заранее подготовленными на основе анализа поверхности атаки данными.
  • Добавлена поддержка повторения сканирований при отправке параметра scanIDs в теле HTTP-запроса POST /api/scans/new.

Изменения

  • Пользователь с ролью «Аналитик» теперь может генерировать отчеты для сканирований.

Исправления

  • Исправлена ошибка, при которой пользователи с ролями «Только для чтения» и «Аналитик» не могли завершить сессию.
  • Исправлено поведение, при котором нарушалась последовательность процессов при миграции базы данных. Теперь сначала проходят миграции, далее происходит подключение к базе данных, и после запускается HTTP-сервер.

Модуль анализа клиентского JavaScript-кода

Исправления

  • Улучшена стабильность работы модуля.

v24.22 — 19.11.2024

Панель управления

Добавлено

  • Пользователи с ролью «Суперадминистратор» теперь видят, к какой организации относятся цели и сканирования.

Изменения

  • В таблицах со списками данных улучшено визуальное отображение закреплённых ячеек.

Исправления

  • Исправлено поведение формы аутентификации, при котором неправильно обрабатывался ошибочный статус некорректно заполненных полей.
  • Добавлена проверка на регистр при заполнении имени хоста в данных аутентификации цели.

Серверная часть

Добавлено

  • Добавлен запрос GET /api/scans/{id}/status, который возвращает статус сканирования.

Изменения

  • Теперь ресурсы, конечные точки и их теги хранятся отдельно.

Сканер fuchsiad

Добавлено

  • Добавлена возможность устанавливать правила дедупликации точек входа и страниц по регулярным выражениям их URL-адресов для всего сканирования.

Изменения

  • Улучшена приостановка задач.
  • При обновлении аутентификационных данных HTTP-клиент теперь сохраняет и отправляет cookie при перенаправлении.

Исправления

  • Для клиента fuchsiactl исправлена некорректная работа флага --proxy.

Модули сканирования

Добавлено

  • Для сканера уязвимостей загрузки файлов реализована проверка возможности загрузки HTML-страницы.

Исправления

  • Теперь в HAR-файлах, генерируемых сканером SSTI, корректно указывается вектор атаки.
  • Для сканера SSTI больше не фиксируется ложная запись в журнале о пустом ответе.
  • Для сканера SQL-инъекций исправлена ошибка, из-за которой при прерывании сканирования не удалялись сгенерированные в процессе работы временные файлы.

Модуль анализа клиентского JavaScript-кода

Исправления

  • Улучшена стабильность работы модуля.

v24.21 — 01.11.2024

Панель управления

Добавлено

  • Добавлено отображение сканирований в статусе «Приостановлено».

Исправления

  • Исправлена браузерная навигация по разделу «Уязвимости сканирования».

Серверная часть

Добавлено

  • Добавлено отслеживание процесса общей синхронизации в логах состояния сервиса синхронизации сканов.
  • Добавлена возможность отключения сканера.
  • Добавлен способ аутентификации сканируемого приложения через локальное хранилище.
  • Добавлена поддержка паузы и возобновления сканирований.

Изменения

  • Увеличено пороговое время загрузки страниц до 60 секунд.
  • Обновлен метод подключения к сканирующему узлу. Теперь соединение с экземпляром сканирующего узла проверяется перед его выбором для следующего сканирования.

Сканер fuchsiad

Добавлено

  • В стандартную поставку модулей добавлены сканеры уязвимостей типа «SQL-инъекция» и «SSTI».

Изменения

  • Теперь дирбастинг включен по умолчанию.

Модули сканирования

Добавлено

  • Для сканера уязвимостей загрузки файлов добавлена возможность настраивать количество тайм-аутов с помощью флага -timeoutsToStop. При достижении указанного числа работа модуля прерывается. Если для флага указано нулевое значение, то модуль не будет прекращать работу в результате превышения числа тайм-аутов.
  • Для сканера SSTI добавлена возможность нахождения среднего времени ответа сервера при слепой проверке.

Исправления

  • Для сканера XXE-инъекций скорректирован алгоритм подстановки полезной нагрузки в параметры с одинаковыми названиями.

Модуль анализа клиентского JavaScript-кода

Изменения

  • Улучшен механизм обнаружения вызовов функции fetch для повышения покрытия анализа.

Дистрибутив для Docker Compose

Добавлено

  • Добавлена генерация полных отчётов по сканированиям в формате PDF.

v24.20.1 — 01.11.2024

Серверная часть

Исправления

  • Исправлена ошибка, при которой запрос списка отчётов приводил к аварийному завершению работы серверной части при невозможности подключения к генератору отчётов.

v24.20 — 22.10.2024

Панель управления

Добавлено

  • Добавлена генерация полных отчётов по сканированиям в формате PDF.
  • На главной странице добавлена диаграмма с уровнями и количеством уязвимостей для всех сканирований, доступных пользователю для просмотра.

Изменения

  • Теперь, когда в мастере создания сканирования и мастере создания и редактирования цели возникает ошибка, подсвечивается шаг, на котором она возникла, и при необходимости осуществляется перенаправление к первой возникшей ошибке.

Исправления

  • Исправлено поведение мастера создания и редактирования цели при загрузке файла с API-спецификацией, размер которого превышает заданное настройками сервера максимальное допустимое значение.

Серверная часть

Изменения

  • Журнал аудита теперь хранит записи об активации пользователей.

Исправления

  • Исправлена ошибка, при которой URL-адрес цели хранился и отображался в закодированном виде.
  • Исправлено поведение, при котором запрос на сканирование выдавал ошибку в случае, когда выбранный узел сканирования был недоступен.

Сканер fuchsiad

Добавлено

  • В стандартную поставку модулей добавлен сканер уязвимостей загрузки файлов.

Интерфейс командной строки SolidPoint CLI

Изменения

  • Отображение статусов сканирований теперь соответствует виду в панели управления.

v24.19 — 08.10.2024

Панель управления

Добавлено

  • На странице детализации сканирования добавлена диаграмма с уровнями и количеством уязвимостей, найденных при сканировании.
  • В данных пользователя теперь отображается информация о его организации и должности.

Изменения

  • При превышении размеров загружаемых файлов спецификации и сертификатов для целей теперь отображается корректное описание ошибки.
  • Редактирование данных пользователя вынесено в модальное окно.

Исправления

  • Исправлена стилизация полей после автозаполнения в браузере Firefox.
  • Исправлена ошибка, при которой устаревший модуль сканирования межсайтового скриптинга на основе DOM некорректно отображался для сканирований.
  • Исправлена ошибка, при которой во время создания цели не удавалось загрузить спецификации API и сертификаты, размеры которых составляли от 800 Кб до 5 Мб.

Серверная часть

Исправления

  • Исправлена ошибка, при которой серверная часть некорректно взаимодействовала с множеством уникальных идентификаторов сканирования для разных модулей.
  • Исправлена ошибка API, при которой не удавалось поменять тенант для пользователя, а также синтаксическая ошибка в параметре scanEndpointIDs в спецификации API.

Сканер fuchsiad

Изменения

  • Для модуля динамического анализа страницы были пересчитаны оценки уязвимостей CVSS, также снижена критичность до уровня «low» в отчётах о найденных потоках данных в режимах «DOM XSS» и «CSPP».
  • Для модуля обнаружения SQL-инъекций селектор теперь генерируется в соответствии с новым форматом отчётов.

Исправления

  • Модули обнаружения контролируемых сериализованных данных и сигнатур Powby2 теперь более устойчивы к сетевым и серверным ошибкам при работе с S3-совместимым хранилищем.
  • Исправлена ошибка, при которой перезапуск сервиса мог приводить к ошибочному двойному запуску задачи сканирования.
  • Исправлена ошибка, при которой во время перезапуска сервиса в журнал заносилось ложное предупреждение при наличии приостановленных сканирований.

🕷 Модуль статического веб-краулинга

Исправления

  • Исправлена ошибка, при которой страницы скачивались повторно при наличии нескольких ссылок на одну страницу с разными значениями URI fragment (например: page.html/#foo и page.html/#bar).

Модуль анализа клиентского JavaScript-кода

Изменения

  • Уменьшено количество некритичных предупреждений в журнале работы модуля.

v24.18 — 24.09.2024

Панель управления

Добавлено

  • Добавлена возможность открывать панель детализации отдельной уязвимости и отдельные вкладки в ней по ссылке.

Изменения

  • В панели детализации уязвимости на вкладке «Подтверждение» и в списке уязвимостей сканирования для лучшего восприятия пользователем изменено отображение селекторов.

Исправления

  • Исправлена ошибка, при которой для пользователя не отображались уязвимости доступного для просмотра сканирования.

Серверная часть

Изменения

  • Журнал аудита теперь хранит пользовательские данные напрямую, а не ссылается на них по ID.
  • Обновлено журналирование сервисного слоя, увеличено количество полезных событий при работе сервиса.

Исправления

  • Исправлена ошибка, при которой удаление пользователей влияло на информацию в журнале аудита, что могло приводить к невозможности удаления.

Сканер fuchsiad

Исправления

  • Исправлена ошибка, при которой модуль интеграции с SolidWall WAF в составе сканера аварийно завершал работу при запуске без предварительной настройки. Теперь модуль завершает работу с сообщением о том, что конфигурационные данные для подключения к WAF не предоставлены.

v24.17 — 10.09.2024

Панель управления

Добавлено

  • В таблице сканирований и на странице детализации добавлена функциональность удаления отдельных завершённых сканирований.

Изменения

  • Неаутентифицированный пользователь при переходе по ссылке на внутреннюю страницу после аутентификации попадает на целевую страницу вместо главной.
  • В мастере создания сканирования добавлено описание для типов сканирования.

Исправления

  • Исправлена ошибка, при которой не удавалось запустить повторение сканирования.

Серверная часть

Добавлено

  • Для HTTP API добавлен запрос GET /api/users/wizard/email-exist, который позволяет пользователю с ролью superAdmin проверить существование в системе аккаунта с указанным адресом почты.

Модуль импортирования OpenAPI-спецификаций

Исправления

  • Исправлены ошибки, из-за которых перестала поддерживаться строка подключения к PostgreSQL через Unix-сокет и без указания параметра sslmode.

Модуль анализа клиентского JavaScript-кода

Добавлено

  • Добавлена встроенная поддержка некоторых часто используемых JavaScript-функций, позволяющая более точно моделировать их работу.
  • Добавлена проверка наличия скрипта как DOM-элемента на странице.

Изменения

  • Дополнена обработка свойств объекта window.location для повышения покрытия анализа.

Исправления

  • Исправлена ошибка, из-за которой неверно работала дедупликация evaled-скриптов среди найденных интерпретатором и распаковщиком JavaScript-кода.
  • Исправлена ошибка, при которой evaled-скрипты, содержащие директиву //# sourceURL=..., неверно классифицировались анализатором.

v24.16 — 27.08.2024

Панель управления

Добавлено

  • Добавлена информация о типе сканирования в списке сканирований и на странице детализации.
  • В мастере добавления и редактирования цели добавлены подсказки о разрешённых к сканированию доменных именах.
  • На странице детализации сканирования, цель которого более не соответствует разрешённым для сканирования шаблонам, добавлена соответствующая информация.
  • Для целей, не соответствующих разрешенным для сканирования шаблонам, добавлена соответствующая отметка в таблице целей.

Изменения

  • Для улучшения восприятия многострочных текстов увеличена высота строки.
  • При повторе теперь учитывается тип исходного сканирования.
  • В списке сканирований улучшено отображение продолжительности длительных сканирований.
  • При создании новой цели в модальном окне и в мастере создания сканирования добавлены подсказки о разрешённых к сканированию доменах.
  • Теперь в списке отмечены те сканирования, адрес целей которых более не соответствует разрешённым к сканированию шаблонам.

Исправления

  • В таблице токенов теперь корректно отображаются токены, дата истечения которых совпадает с текущей.
  • Исправлена некорректная подсветка ошибок в окне добавления нового токена.
  • Для сканирований с целями, адрес которых более не соответствует разрешённым к сканированию шаблонам, больше недоступны операции повтора.
  • Для целей, которые не соответствуют разрешённым шаблонам, больше недоступен быстрый запуск сканирования.

v24.15 — 13.08.2024

Панель управления

Добавлено

  • Добавлен мастер создания сканирования с функциональностью выбора отдельных модулей.

Изменения

  • Длина описания для цели увеличена до 500 символов.
  • В форме создания нового токена доступа добавлена обработка ошибок.
  • Улучшена визуализация загрузки списка целей.

Исправления

  • Серия небольших исправлений в пользовательском интерфейсе.

Сканер fuchsiad

Добавлено

  • Cканирование теперь может быть приостановлено во время работы модуля. После возобновления модуль продолжит работу с той точки, где он остановился.
  • Добавлена возможность настраивать имя используемого бакета S3/MinIO.

Модуль анализа клиентского JavaScript-кода

Изменения

  • Добавлено ограничение на длину URL для повышения надежности анализа.

Дистрибутив для Debian

Изменения

  • Сканер теперь автоматически перезагружает конфигурацию при установке или обновлении сканирующих модулей (только при установке в «полноценную» ОС, не относится к развертыванию в Docker-контейнере).

v24.14 — 30.07.2024

Панель управления

Изменения

  • Серия улучшений и изменений в пользовательском интерфейсе.

Интерфейс командной строки SolidPoint CLI

Добавлено

  • Добавлена команда solidpoint auth login, которая интерактивно запрашивает у пользователя URL инсталляции сканера, если не определена переменная окружения SOLIDPOINT_BASE_URL.

v24.13 — 16.07.2024

Панель управления

Добавлено

  • Добавлена возможность вернуться к форме логина с экрана ожидания активации нового аккаунта.
  • Для модального окна сканирования добавлена возможность выбрать тип сканирования.
  • Для мастера создания цели на шаге «Аутентификация» добавлено описание доступных типов аутентификации.

Исправления

  • Серия небольших исправлений в пользовательском интерфейсе.

Сканер fuchsiad

Добавлено

  • В стандартную поставку модулей добавлен сканер уязвимостей типа «shell-инъекция».

Модули сканирования

Исправления

  • Исправлена ошибка, при которой модуль сканирования отраженных XSS-уязвимостей иногда зависал.

v24.12 — 02.07.2024

Панель управления

Добавлено

  • В панель детализации недостатка добавлена вкладка «Потоки данных» и «Дополнительная информация».
  • В боковое меню добавлен пункт «Документация», позволяющий перейти к пользовательской документации. Перейти к спецификации API теперь можно при нажатии на соответствующую кнопку.

Изменения

  • Серия улучшений и изменений в пользовательском интерфейсе.

🕷 Модуль статического веб-краулинга

Исправления

  • Исправлена ошибка, при которой некоторые сканирования могли завершаться из-за неправильной обработки ошибок.

v24.11 — 18.06.2024

Панель управления

Добавлено

  • В панели детализации недостатка добавлена вкладка со ссылками на ресурсы, связанные с его классификацией.

Изменения

  • Улучшена визуализация загрузки панели детализации недостатка.

Исправления

  • Серия небольших исправлений в пользовательском интерфейсе.

Серверная часть

Добавлено

  • Добавлена обработка ошибок, связанных с подключением к базе данных.
  • Добавлена поддержка белого списка ограничений на сканируемые URL для целей.

v24.10 — 04.06.2024

Панель управления

Добавлено

  • В панели детализации недостатка добавлена вкладка «Подтверждение», содержащая примеры векторов атаки и последовательность запрос-ответ, подтверждающих недостаток.
  • В панели детализации недостатка добавлена вкладка «Ссылки», содержащая ссылки на ресурсы, связанные с выявленным недостатком.

Изменения

  • Список токенов доступа теперь отображается на отдельной странице.
  • Серия улучшений и изменений в пользовательском интерфейсе.

Серверная часть

Добавлено

  • Для журнала аудита настроено отслеживание сессий пользователей.

Сканер fuchsiad

Добавлено

  • Добавлена возможность приостанавливать сканирования. При этом новые задачи в рамках сканирования не запускаются, а уже запущенные задачи продолжают свою работу.

🕸 Модуль динамического веб-краулинга

Изменения

  • Выявленные конечные точки теперь отправляются в базу данных в момент их обнаружения вместо однократной общей отправки в конце работы модуля.

v24.9 — 21.05.2024

Панель управления

Добавлено

  • Добавлена анимация загрузки приложения в целом, а также анимация загрузки контента: детализации сканирования, HTTP Endpoints и технического отчёта.
  • На странице деталей сканирования добавлено отображение количества локаций. Это количество вычисляется как сумма выявленных точек входа и ресурсов.
  • В панель детализации недостатка добавлена вкладка «Классификация», содержащая информацию о классификации выявленного недостатка.

Изменения

  • В таблице сканирований колонка «HTTP Endpoints» заменена на колонку «Локации».
  • Пользователи больше не могут самостоятельно редактировать адрес электронной почты, теперь для этого необходимо обратиться к администратору системы.

Исправления

  • В модальном окне создания сканирования исправлено некорректное отображение в случае, когда еще не создано ни одной цели.
  • В модальных окнах групповых операций для китайской версии панели управления исправлены ошибки локализации.
  • Небольшие исправления в пользовательском интерфейсе.

Сканер fuchsiad

Исправления

  • Исправлено падение сканера при выявлении точек входа, содержащих в домене символы «{» и «}».

Дистрибутив для Docker Compose

Исправления

  • Исправлена ошибка, при которой в результате кэширования могло возникнуть несколько пакетов Debian с разными версиями сборки.

v24.8 — 07.05.2024

Панель управления

Добавлено

  • Добавлена панель детализации недостатка, в которой реализованы следующие вкладки: «Общая информация», содержащая общую информацию о выявленном недостатке, и «Описание», содержащая краткое описание выявленного недостатка.

Исправления

  • Серия небольших исправлений в пользовательском интерфейсе.

Сканер fuchsiad

Добавлено

  • Добавлен параллельный запуск модулей сканирования в рамках одного сканирования.

🕸 Модуль динамического веб-краулинга

Добавлено

  • Добавлен механизм ожидания загрузки страницы.

v24.7 — 23.04.2024

Панель управления

Добавлено

  • Добавлена поддержка LDAP-аутентификации.

Изменения

  • Серия улучшений и изменений в пользовательском интерфейсе.

Сканер fuchsiad

Исправления

  • Исправлена ошибка «cannot unmarshal array into Go struct field Tag.attributes of type map[string]interface».

Модуль анализа клиентского JavaScript-кода

Добавлено

  • Добавлена поддержка нативных модулей.

🕸 Модуль динамического веб-краулинга

Изменения

  • Убрано ограничение по доменам.

Дистрибутив для Debian

Исправления

  • Исправлена ошибка, при которой подключение к базе данных перезаписывалось на значение по умолчанию, если настройка debconf не проводилась ранее. Теперь в такой ситуации подключение сохраняется.

v24.6 — 09.04.2024

Панель управления

Добавлено

  • На странице технического отчета добавлено отображение точек входа.
  • Во время сканирования теперь отображается статус «Ошибка аутентификации» при возникновении соответствующей ошибки.

Исправления

  • Исправлена ошибка, при которой в некоторых случаях неправильно вычислялось количество недостатков.
  • Исправлена ошибка, при которой для отменённых сканирований не останавливался подсчёт времени выполнения.
  • В модальном окне сканирования теперь для любого поискового запроса корректно отображается сообщение о том, что совпадения не найдены.
  • В модальном окне сканирования улучшено быстрое добавление цели.
  • Улучшено взаимодействие пользователей с кнопками веб-интерфейса.

Серверная часть

Добавлено

  • Действия пользователей теперь фиксируются в журнале аудита.

Сканер fuchsiad

Исправления

  • Конечные точки, созданные через franzisrunner -labelsFromScanner, теперь проходят через проверку домена.

Модуль интеграции с SolidWall WAF

Изменения

  • Извлечённые конечные точки теперь сохраняются по новой схеме как самостоятельные сущности без привязки к корневому ресурсу.

Модули сканирования

Изменения

  • В случае отсутствия недостатков для конечной точки теперь генерируется отчёт без идентификатора недостатка.

Исправления

  • Исправлена причина возникновения ошибки «ERROR: unsupported Unicode escape sequence (SQLSTATE 22P05)».

Модуль импортирования OpenAPI-спецификаций

Исправления

  • Добавлена поддержка самозаверенных сертификатов.

🕸 Модуль динамического веб-краулинга

Добавлено

  • Реализована обработка новых URL-адресов из тегов <а>.

Дистрибутив для Debian

Добавлено

  • В серверной части добавлена настройка подключения к базе данных через debconf для пакета solidpoint-backend.

Изменения

  • В модуле динамического веб-краулинга для пакета fuchsia-dynamic-crawler убраны лишние зависимости и уменьшен его общий вес.

v24.5 — 26.03.2024

Панель управления

Добавлено

  • В карточке деталей сканирования теперь отображается количество найденных точек входа.
  • Теперь при выборе найденного недостатка из списка все его свойства отображаются в новой боковой панели.
  • Улучшены сообщения об ошибках мастера создания цели.

Изменения

  • Модальные окна теперь не закрываются при нажатии вне окна.
  • Обновлен дизайн мастера создания цели.
  • Улучшено содержимое карточек в случае отсутствия данных для отображения.
  • Улучшена обработка ошибок в формах аутентификации и регистрации.
  • Серия улучшений и изменений в пользовательском интерфейсе.

Исправления

  • При получении статуса сканирования с неизвестным значением, например, от стороннего модуля, теперь будет отображаться статус «Неизвестно» для сканирования и для модуля.

Сканер fuchsiad

Изменения

  • Теперь механизмы проверки аутентификации и обновления аутентификационных данных проверяют и пытаются обновить сессию непосредственно перед запуском, с последующей перепроверкой.

Исправления

  • Изменена логика работы механизма обновления аутентификационных данных для игнорирования ограничений черного списка URL.

v24.4 — 12.03.2024

Панель управления

Добавлено

  • Добавлена возможность загрузки OpenAPI-спецификации в настройках цели сканирования.

Исправления

  • Исправлена работа функциональности по отключению и включению аутентификационных данных в настройках цели сканирования.
  • Все статические ресурсы теперь доступны локально, более не используется сторонний CDN для загрузки иконок флагов.

Сканер fuchsiad

Добавлено

  • Возможность задания прокси на уровне отдельного сканирования.

    Данная функциональность пока что доступна только через консольный клиент fuchsiactl. Пример использования:

    fuchsiactl scan --proxy socks5://127.0.0.1:9050 --url http://example.com

Исправления

  • Исправлено журналирование URL HTTP-запросов в HTTP-прокси.
  • Исправлена ошибка «panic: assignment to entry in nil map» в модуле обновления аутентифкации.

Модуль анализа клиентского JavaScript-кода

Исправления

  • Исправлена ошибка при анализе некоторых фрагментов кода, использующего сложение большого количества массивов, что приводило к зависанию анализатора из-за комбинаторного взрыва.

v24.3 — 28.02.2024

Панель управления

Добавлено

  • В список целей добавлена визуальная индикация подключенных способов аутентификации.

Исправления

  • Форма входа теперь игнорирует регистр адреса электронной почты.
  • В некоторых случаях не отображался URL в списке целей сканирования.

Сканер fuchsiad

Добавлено

  • В стандартную поставку модулей добавлен сканер уязвимостей типа «path traversal».

🕸 Модуль динамического веб-краулинга

Исправления

  • Исправлена ошибка «TypeError: Cannot convert object to primitive value», возникающая при разборе некоторых URL.
  • Исправлена ошибка «Command '['timeout', ...]' returned non-zero exit status 124», приводящая к аварийному завершению и обнаружению меньшего количества точек входа из-за превышения лимита времени работы модуля.

Модуль анализа клиентского JavaScript-кода

Изменения

Исправления

  • Исправлена ошибка при анализе вызовов функций с аргументами по умолчанию.
  • Исправлена ошибка «RangeError: Incorrect locale information provided».

Модули сканирования

Добавлено

  • Включен в стандартную поставку модуль поиска недостатков класса path traversal.
  • Добавлен шаблон Nuclei для уязвимости CVE-2024-23897 в Jenkins.

Изменения

  • Стандартные шаблоны Nuclei обновлены до актуальной версии.
  • Среди находок Nuclei теперь помечаются как уязвимости только обладающие уровнем серьезности от среднего и выше.
  • В стандартной поставке шаблонов Nuclei отключены часто ложноположительно срабатывающие правила:
    • http/misconfiguration/http-missing-security-headers;
    • http/miscellaneous/x-recruiting-header;
    • http/miscellaneous/addeventlistener-detect.

Исправления

  • Исправлена ошибка «ERROR: unsupported Unicode escape sequence (SQLSTATE 22P05)», проявляющаяся, например, при обработке одного из шаблонов Nuclei.

Дистрибутив для Debian

Добавлено

  • При установке пакета сканирующего сервиса fuchsia запрашиваются данные для подключения к PostgreSQL и S3-совместимому хранилищу.

Изменения

  • Debian-репозиторий перенесен по адресу repo.solidpoint.net.
  • Node.js необходимой версии теперь устанавливается автоматически.
  • Уменьшен общий размер дистрибутива.

v24.2 — 14.02.2024

Панель управления

Добавлено

  • Возможность загрузки клиентского TLS-сертификата в настройках аутентификации цели сканирования.

Исправления

  • Исправлено ошибочное поведение интерфейса во время прерывания сканирования при определенных условиях.
  • Исправлено ошибочное поведение, из-за которого сканирования при определенных условиях могли навсегда остаться в статусе «В ожидании».

Интерфейс командной строки SolidPoint CLI

Изменения

  • Изменена система команд.

    Теперь в иерархии команд первая определяет сущность, а вторая — возможные действия с ней.

    Например, вместо команды solidpoint-cli new target теперь необходимо использовать solidpoint-cli target new.

  • Часть команд была переименована.

    Например, вместо команды solidpoint-cli show users теперь необходимо использовать solidpoint-cli user list.

Сканер fuchsiad

Добавлено

  • Возможность обновления аутентификационных данных.

    Описание соответствующего формата конфигурации доступно в описании параметра --authrefresh-config справочной страницы man fuchsiactl-scan.

Изменения

  • Дедупликация похожих страниц и точек входа теперь включена по умолчанию.

Модули сканирования

Изменения

  • Оптимизировано время работы модуля поиска недостатков класса path traversal.

Дистрибутив для Debian

Добавлено

  • Метапакет fuchsia-full, включающий в себя сканер и основные стабильные модули сканирования.
  • Метапакет solidpoint-dashboard с веб-интерфейсом и серверной частью панели управления.
  • Пакет solidpoint-cli с интерфейсом командной строки.

Дистрибутив для Docker Compose

Изменения

  • Переменные окружения с префиксом MINIO_ переименованы в S3_.

Для версии от 31.01.2024 и ранее версионирование не производилось.