Перейти к содержанию

Описание изменений за 2025 год

v25.21.1 — 11.11.2025

Серверная часть

Исправления

  • Исправлена ошибка синхронизации целей и используемых ими технологий.
  • Исправлена ошибка, из-за которой синхронизация тегов сканирований разных сканеров могла работать некорректно.

v25.21 — 04.11.2025

Панель управления

Изменения

  • Теперь на странице детализации сканирования в карточке «Модули» сортировка осуществляется в порядке начала работы модулей.

Серверная часть

Добавлено

  • Добавлена возможность выявлять и актуализировать используемые целью технологии.

Исправления

  • Исправлена ошибка, из-за которой сканирование, созданное через консольный клиент fuchsiactl без модуля статического веб-краулинга, могло синхронизироваться с опцией withDirbuster.
  • Исправлена зависимость запроса на сканирование от регистра URL-адреса.

Модуль импортирования OpenAPI-спецификаций

Исправления

  • Исправлена ошибка, возникающая в режиме работы консольного клиента при передаче спецификации без поля servers.

Модуль импортирования HAR-файлов

Добавлено

  • Добавлена фильтрация конечных точек по доменам.

Модули сканирования

Изменения

  • Для сканера shell‑инъекций векторы атаки теперь могут отправляться без экранирования спецсимволов командной оболочки.

v25.20 — 21.10.2025

Панель управления

Исправления

  • Исправлена ошибка, в некоторых случаях приводящая к тому, что неверно заполненное поле ограничения RPS могло блокировать мастер создания и редактирования цели для дальнейших изменений.

Серверная часть

Добавлено

  • Добавлена поддержка модуля импортирования конечных точек из HAR-файлов.
  • Добавлена поддержка «сырого» запроса на сканирование для пользователей с ролью суперадминистратор. «Сырым» называется запрос, который передаётся напрямую в сканер без стандартной валидации серверной частью.
  • Теперь в списке сканирований содержатся настройки: аутентификационные данные, спецификация API, конфигурация модуля интеграции с SolidWall WAF.

Изменения

  • При создании нового сканирования по идентификатору предыдущего теперь применяются актуальные параметры цели.

Интерфейс командной строки SolidPoint CLI

Добавлено

  • Добавлена поддержка аутентификации сканируемого приложения через локальное хранилище.

Сканер fuchsiad

Добавлено

  • В gRPC-методе Fuchsiad.GetJobLog добавлена возможность скачать запись журнала частично.
  • В записях журнала обобщённого API теперь отображается идентификатор запроса.
  • При запуске сканирования через консольный клиент fuchsiactl с использованием JSON-файла теперь есть возможность указать не только регулярное выражение для URL-адреса, по которому необходимо блокировать запросы, но и регулярное выражение для тела запроса.
  • Сервер для валидации out-of-band атак теперь настраивается централизованно через конфигурационный файл fuchsiad для всех модулей, выявляющих данный тип атак.

Изменения

  • Тайм-аут проверочного запроса механизма проверки аутентификации по умолчанию увеличен с 10 до 30 секунд.

Исправления

  • Исправлена ошибка «publicsuffix: empty label in domain», приводившая в редких случаях к сбою в сканировании при нахождении запросов к серверу.
  • Исправлена ошибка, из-за которой тайм-аут проверочного запроса механизма проверки аутентификации не мог превышать 10 секунд.

🕸 Модуль динамического веб-краулинга

Изменения

  • Повышена стабильность работы:
    • добавлена защита от ошибок, возникающих при срабатывании внутреннего тайм-аута в процессе обработки внутренних страниц.
    • добавлена защита от ошибок, которые могут возникать из-за перенаправлений, вызванных собственным клиентским кодом анализируемой страницы.

Модули сканирования

Добавлено

  • Для сканера shell-инъекций добавлена проверка на основе задержки ответа от сервера c использованием обобщенного API.

Изменения

  • Исправлена оценка CVSS для уязвимости NoSQL.
  • Исправлена CWE для уязвимости Weak Password.

Исправления

  • Для модулей обнаружения контролируемых сериализованных данных и сигнатур Powby2 исправлена ошибка «SignatureDoesNotMatch», иногда возникающая при работе с Ceph.

v25.19.1 — 13.10.2025

Сканер fuchsiad

Исправления

  • Исправлена ошибка, из-за которой модули динамического анализа страницы были неработоспособны.

v25.19 — 07.10.2025

Панель управления

Изменения

  • Для больших таблиц с данными добавлена горизонтальная прокрутка с захватом.
  • В мастере создания сканирования изменён порядок шагов: теперь выбор целей происходит перед выбором типа сканирования.
  • Запустить сканирование из мастера создания сканирования теперь можно сразу после выбора цели, не проходя все шаги до конца.

Серверная часть

Добавлено

  • Добавлен автоматический повтор неудавшейся миграции при перезапуске сервиса.
  • Добавлен запрос GET /api/scans/{id}/software-versions для получения списка программного обеспечения, выявленного в рамках сканирования.

Интерфейс командной строки SolidPoint CLI

Добавлено

  • Для команд, поддерживающих только интерактивный режим, добавлена поддержка флагов.

Изменения

  • Аутентификация больше не является обязательной в однопользовательском режиме, а сообщения об ошибках аутентификации многопользовательского режима стали конкретнее.

Сканер fuchsiad

Добавлено

  • В стандартную поставку модулей добавлен модуль импортирования конечных точек из HAR-файлов.
  • Добавлена возможность повторного запуска сканирования через fuchsiactl.
  • Механизм проверки аутентификации теперь журналирует в формате Base64 тела ответов, приводящих к невыполнению критериев аутентификации.

Исправления

  • Исправлена ошибка, из-за которой корневой URL-адрес сканирования не всегда игнорировался при дедупликации страниц.

🕷 Модуль статического веб-краулинга

Изменения

  • Переработано журналирование дирбастера для явного разделения внутренних процессов и упрощения чтения записей.

Модули сканирования

Исправления

  • Для сканера отражённого межсайтового скриптинга исправлена ошибка, из-за которой тело HTTP-запроса в отчёте могло не содержать вектор атаки.
  • Для сканера SSTI исправлена ошибка «URL not contains required param», которая могла возникать при обновлении ключа строки запроса.

v25.18 — 23.09.2025

Панель управления

Добавлено

  • В списке сканирований теперь выводятся маркеры для визуализации уровней угрозы найденных при сканировании уязвимостей.
  • Для краткого вывода информации об аутентификации добавлено отображение параметров, наследуемых от адреса цели, если они не были указаны отдельно. Теперь имя хоста и порт отображаются всегда, если данный тип аутентификации их поддерживает.

Изменения

  • Теперь пользователь неактивированного аккаунта видит сообщение о том, что ему необходимо дождаться активации аккаунта администратором.

Исправления

  • Исправлена ошибка, из-за которой в полях «Запрос» и «Ответ» в панели детализации уязвимости могли отображаться нечитаемые символы.
  • Исправлена ошибка, которая не позволяла сохранять изменения в мастере создания сканирования при указании порта для аутентификации через заголовок запроса.

Сканер fuchsiad

Добавлено

  • Теперь появилась возможность получать информацию о текущем и максимальном количестве выполняемых задач и сканирований, а также изменять их лимиты через fuchsiactl или gRPC.

Исправления

  • Исправлена ошибка, приводившая к сбою в сканировании при наличии в веб-приложении ссылок или запросов с доменами верхнего уровня (eTLD).
  • Исправлена ошибка, связанная с отсутствием домашней директории для обновления аутентификации с помощью браузерного сценария. Теперь при запуске аутентификатора создаются временные директории.

🕸 Модуль динамического веб-краулинга

Изменения

  • Теперь краулер проверяет видимость элементов непосредственно перед взаимодействием.
  • Формат ввода Cookies изменён на более простой и удобный: теперь не требуется вводить массив ключей и значений, достаточно строки с этими данными.
  • Сокращён тайм-аут завершения процессов для краулера, выполнившего все необходимые действия. Теперь время ожидания составляет не более 1 минуты.

Модули сканирования

Добавлено

  • Для сканера SSTI информация о проверяемой технике теперь выводится в журнал. Журналирование ошибок помечено специальным префиксом.

v25.17.1 — 21.09.2025

Серверная часть

Исправления

  • Исправлена ошибка, из-за которой при запуске сканирования через API для цели с настроенным обновлением аутентификации с помощью браузерного сценария содержимое скрипта не передавалось сканеру.

Сканер fuchsiad

Исправления

  • Исправлены ошибки во взаимодействии с веб-приложениями по HTTP при аутентификации с помощью браузерного сценария.

v25.17 — 09.09.2025

Панель управления

Добавлено

  • В мастер создания и редактирования цели теперь можно добавить конфигурации для механизмов проверки и обновления аутентификации при работе сканера с целью.
  • На странице детализации сканирования добавлена анимация для индикатора выполнения.

Изменения

  • Оптимизирована и ускорена загрузка данных на главной странице.
  • Пользователи с правами «Администратор» теперь могут изменять свою электронную почту в настройках профиля.

Серверная часть

Добавлено

  • Добавлены запросы для проверки валидности конфигурации механизмов проверки и обновления аутентификации.
  • Добавлена валидация диапазона HTTP-статус-кода, задаваемого как критерий успешности проверки в конфигурации механизма проверки аутентификации.

Изменения

  • Запрос /api/targets/files-info теперь выводит информацию о формате и размере скрипта, ожидаемого для конфигурации механизма обновления аутентификации с помощью браузерного сценария.
  • Для конфигурации механизма обновления аутентификации поле criterions заменено на criteria.
  • Теперь при ошибке создания уже существующей цели в тексте ошибки указывается идентификатор этой цели.

Исправления

  • Исправлена ошибка, при которой общее количество сканирований вычислялось неверно.

Интерфейс командной строки SolidPoint CLI

Добавлено

  • Добавлена проверка доступности панели управления по указанному адресу.

Сканер fuchsiad

Добавлено

  • Для команды fuchsiactl scan --modules= при нажатии Tab выводится список доступных аргументов.
  • В библиотеке striker добавлена возможность сохранять Cookie при перенаправлениях.
  • В библиотеке striker поле content_type в параметрах HAR-файлов, принимаемых модулями, заменено на contentType.

Исправления

  • Исправлена ошибка при запуске механизмов проверки и обновления аутентификации, которая могла приводить к зацикливанию алгоритма.

🕸 Модуль динамического веб-краулинга

Добавлено

  • Добавлено взаимодействие с кнопками с тегом <button>.
  • Добавлена возможность активации всех чекбоксов в форме.

Исправления

  • Исправлена ошибка, при которой активные селекторы могли быть нажаты повторно.

Модуль анализа клиентского JavaScript-кода

Добавлено

  • Добавлена поддержка объявленных полей классов.

Исправления

  • Исправлена ошибка типа «состояние гонки», которая могла приводить к некорректному анализу или аварийному завершению работы модуля.

Модули сканирования

  • Для сканера атак методом «грубой силы» добавлены дополнительные проверки успешности аутентификации.

Дистрибутив для Docker Compose

Изменения

  • Теперь загружаемые в MinIO данные снова хранятся в сжатом виде. Пользователям с активным контейнером MinIO рекомендуется пересоздать его с помощью команды docker compose up --force-recreate minio, чтобы изменения вступили в силу.

v25.16 — 26.08.2025

Панель управления

Добавлено

  • Добавлены всплывающие уведомления, отображающиеся при прерывании сканирований.
  • В панели детализации уязвимости добавлена подсветка блоков кода.

Изменения

  • Светлая тема приложения стала более контрастной и удобной.
  • Линейный график «Динамика уязвимости» и круговая диаграмма «Уязвимости» объединены для лучшего представления выводимых данных.

Серверная часть

Добавлено

  • Добавлена возможность запланировать генерацию PDF-отчётов при создании нового сканирования.

Изменения

  • Для роли Администратора теперь доступен запрос POST /api/users/wizard/email-exists, позволяющий проверить наличие учётной записи с указанным адресом электронной почты в базе данных.
  • Улучшена производительность при выполнении запроса записей журналов модулей сканирования.

Интерфейс командной строки SolidPoint CLI

Исправления

  • Исправлена ошибка, при которой для команд с указанными флагами мог включаться интерактивный режим.

Сканер fuchsiad

Добавлено

  • Добавлена возможность настраивать тайм-аут для механизма проверки аутентификации.
  • В конфигурацию механизма проверки аутентификации добавлено поле ignore_redirects, которое позволяет регулировать взаимодействие с перенаправлениями.

Изменения

  • Теперь для записей журнала сканера задаётся параметр Content-Type (по умолчанию text/plain), чтобы оптимизировать хранение.

Модули сканирования

Изменения

  • Стандартные шаблоны Nuclei обновлены до актуальной версии.
  • Шаблон http-missing-security-headers по умолчанию больше не игнорируется.

Дистрибутив для Docker Compose

Изменения

  • Базовые образы обновлены с Debian Bullseye на Debian Bookworm.

Исправления

  • Исправлена ошибка идентификатора пользователя, из-за которой сервис fuchsiad мог не запускаться.
  • Исправлена ошибка, из-за которой при запуске контейнера серверной части скрипт create_scanner.sh мог не дожидаться включения сканера.

v25.15 — 12.08.2025

Панель управления

Добавлено

  • Добавлена возможность указывать порт подключения в параметрах аутентификации цели.
  • На страницу детализации сканирования добавлен прогресс работы модулей.
  • Добавлена возможность ограничивать URL-адреса при сканировании.

Изменения

  • Кнопка «Повторить» на странице детализации сканирования перенесена в карточку «Общая информация».
  • Шаг «Настройки» в мастере создания и редактирования цели разбит на два. Шаг «Ограничения» теперь содержит ограничение количества запросов и список ограничений URL-адресов. Загрузка файла спецификации API вынесена в отдельный шаг.

Исправления

  • Исправлена ошибка, из-за которой в техническом отчёте не отображались данные, если получены конечные точки и не получены ресурсы.

Серверная часть

Добавлено

  • Добавлен запрос POST /api/targets/wizard/valid-url-restriction-list для валидации списка ограничений URL‑адресов.
  • Добавлена поддержка конфигурации механизма обновления аутентификационных данных с помощью браузерного сценария.

Изменения

  • Для строки подключения к PostgreSQL теперь по умолчанию используется порт 5432 вместо 5435.
  • Для роли Администратора расширены права на редактирование данных и создание пользователей. Подробнее в разделе Роли и права пользователя.

Исправления

  • Исправлена ошибка сервиса синхронизации сканирований, которая могла возникать при запросе последних сканирований.

Интерфейс командной строки SolidPoint CLI

Добавлено

  • Добавлена команда about, позволяющая узнать версию продукта.

Сканер fuchsiad

Добавлено

  • Добавлена возможность вывести полную информацию о запросе через консольный клиент fuchsiactl.

Изменения

  • Усилена дедупликация конечных точек для ускорения сканирований.
  • Лимит одновременно выполняемых задач на новых инсталляциях теперь по умолчанию равен количеству ядер CPU.

Модуль импортирования OpenAPI-спецификаций

Добавлено

  • Добавлен флаг --url для задания базового адреса, на основе которого генерируются конечные точки.

Изменения

  • Флаг --use-urls-from-spec более не используется.
  • В качестве базового URL-адреса для генерации конечных точек теперь используется полный URL-адрес цели вместо заголовка запроса origin.

Модуль анализа клиентского JavaScript-кода

Изменения

  • Повышена стабильность и точность работы за счёт прекращения поддержки некоторых возможностей JavaScript‑кода, несущественных с точки зрения результатов анализа.

Модули сканирования

Добавлено

  • Для сканера SQL‑инъекций добавлена возможность задать TCP‑тайм‑аут с помощью флага.

Изменения

  • Для сканера SQL‑инъекций TCP‑тайм‑аут клиента по умолчанию увеличен до 60 секунд.
  • Для сканеров shell‑инъекций и недостатков класса path traversal оптимизирован процесс журналирования.

Исправления

  • Для сканера SQL‑инъекций исправлена ошибка, возникающая в случае проблем TCP‑соединения между клиентской и серверной частью модуля.
  • Для сканера SSTI исправлена ошибка «Wrong path in JSON body», возникающая из-за подставления вектора атаки в некорректную локацию.

Дистрибутив для Debian

Добавлено

  • Deb‑пакет консольного клиента fuchsiactl теперь включает файлы конфигурации автодополнения командной оболочки.

v25.14.1 — 11.08.2025

Панель управления

Исправления

  • Исправлена ошибка, из-за которой могла не открываться добавленная в версии v25.14 страница детализации цели.

v25.14 — 29.07.2025

Панель управления

Добавлено

  • Добавлена страница детализации с общей информацией о каждой цели.

Серверная часть

Добавлено

  • Добавлено сравнение нормализованных URL-адресов для улучшения валидации цели при синхронизации сканирований.
  • Добавлена поддержка регистрации неудачных событий в журнал аудита.
  • Добавлена возможность узнать версию продукта с помощью HTTP-запроса и команды CLI.
  • Добавлен прогресс работы модулей сканирования.

Изменения

  • Улучшена производительность запроса на получение сканирований.

Исправления

  • Теперь при запросе уязвимостей цели нет дублирующихся значений.

Интерфейс командной строки SolidPoint CLI

Добавлено

  • Добавлена обработка статусов сканирования, которые могли появиться в других компонентах, но не были добавлены в CLI.
  • Добавлена поддержка интерактивности для команды scanner.

Исправления

  • Исправлена некорректная обработка статусов сканирования «Приостановлено» и «С замечаниями», которая происходила из-за отсутствия данных статусов в CLI.

Сканер fuchsiad

Добавлено

  • Добавлена поддержка протокола TLS в gRPC-коммуникации с консольным клиентом fuchsiactl, включая опциональную проверку клиентских сертификатов (mutual TLS).

Исправления

  • Исправлена ошибка, в редких случаях приводившая к аварийному завершению работы сервиса при обновлении.

Модуль анализа клиентского JavaScript-кода

Изменения

  • Оптимизирован процесс анализа за счёт переиспользования объектов. Снижено потребление памяти и повышено быстродействие.
  • Повышена стабильность работы анализатора за счёт добавления защиты от ошибок, вызванных перенаправлениями, инициированными собственным клиентским кодом анализируемой страницы.

Исправления

  • Исправлена ошибка, из-за которой к множествам допустимых значений примешивались некорректные данные, что приводило к снижению точности анализа.

Модули сканирования

Исправления

  • Для модуля обнаружения Reflected XSS исправлена ошибка «Protocol error: Unsafe header: proxy-authorization», которая вызывала аварийное завершение работы модуля.
  • Для сканера SSTI исправлены ошибки памяти.
  • Для сканера SSTI уменьшено количество ложных срабатываний.
  • Для сканера десериализации недоверенных данных в PHP и сканера SSTI ошибка в обобщённом API при поиске основанных на времени проверок недостатков больше не приводит к аварийному завершению работы модуля. Теперь в этом случае метод пропускается.

Дистрибутив для Docker Compose

Изменения

  • Для проверки доступности баз данных теперь используется утилита pg_isready вместо wait-for-it.

v25.13.1 — 21.07.2025

Серверная часть

Исправления

  • Исправлена ошибка, которая могла возникнуть при применении фильтров IN и NOT IN.

v25.13 — 15.07.2025

Панель управления

Добавлено

  • В список сканирований добавлена фильтрация по адресу цели.

Изменения

  • Круговая диаграмма «Уязвимости» теперь отображает только уникальные данные за тот же период, что и график «Динамика уязвимости».

Исправления

  • Исправлены ошибки, из-за которых интерфейсы управления метками уязвимостей для пользователей с ролями «Аналитик» и «Только для чтения» не соответствовали правам.
  • Исправлена ошибка, из-за которой сканирования при быстром создании могли иметь неправильный тип.

Серверная часть

Добавлено

  • Добавлено хранилище настроек пользователя.
  • Добавлена поддержка конфигурации механизма обновления аутентификационных данных с помощью HTTP-запроса.
  • Для поддерживающих фильтрацию списков сущностей добавлены фильтры IN и NOT IN.

Изменения

  • Улучшена стабильность Swagger UI.
  • Повышена производительность за счёт улучшений сервиса синхронизации сканирований.
  • Теперь сканирования с невалидным URL-адресом, созданные с помощью fuchsiactl, отображаются в тенанте по умолчанию с пометкой о невалидности.

Исправления

  • Исправлен подсчёт значений для запроса GET /api/targets/severity-chart.
  • Исправлена ошибка, при которой запрос GET /api/targets/severity-trend мог возвращать нулевое значение для дат, когда сканирования не совершались.
  • Исправлена ошибка, из-за которой уязвимости с пометкой «Не уязвимость» при повторном сканировании цели могли менять статус.

Сканер fuchsiad

Добавлено

  • Добавлена поддержка протокола проверки работоспособности gRPC.

Изменения

  • Для получения корневой страницы модулями удалена фильтрация по заголовку-сущности Content-Type.
  • Обновлена версия входящего в состав дистрибутива браузера для поддержки нового безголового режима.
  • Постановка сканирования на паузу теперь осуществляется быстрее, при этом промежуточные результаты работы модулей не сохраняются.

Исправления

  • Исправлена утечка памяти, которая возникала при создании сканирования с использованием детектора аномалий.

🕸 Модуль динамического веб-краулинга

Исправления

  • Исправлена ошибка, из-за которой выводилось неверное количество собранных модулем HAR-файлов.
  • Исправлен механизм отслеживания обработанных URL-адресов.

Модуль анализа клиентского JavaScript-кода

Исправления

  • Добавлено ограничение, отсутствие которого в редких случаях могло приводить к аварийному завершению работы анализатора.

Модули сканирования

Изменения

  • Модуль активного сигнатурного анализа Nuclei теперь всегда запускается на URL-адресе сканируемой цели.
  • Для сканера SSTI теперь используется обобщённый API для поиска основанных на времени проверок недостатков.

Дистрибутив для Docker Compose

Добавлено

  • Добавлены переменные окружения BACKEND_LISTEN_PORT, BACKEND_ADDR и FUCHSIAD_SOCKET_ADDR для более удобной конфигурации. Подробнее в разделе.

Изменения

  • Конфигурационные файлы веб-сервера nginx теперь хранятся во временной директории /tmp.

v25.12.1 — 07.07.2025

Генератор PDF-отчётов

  • Исправлена вёрстка PDF-отчётов для входящего в состав дистрибутива браузера.

v25.12 — 01.07.2025

Панель управления

Добавлено

  • В детализации сканирования теперь отражается информация о том, какое программное обеспечение было обнаружено при сканировании цели.
  • Добавлена возможность проставлять метки уязвимостям, обнаруженным при сканировании.

Серверная часть

Добавлено

  • Добавлена возможность задавать конфигурацию и фильтры для модуля интеграции с SolidWall WAF.
  • Добавлен запрос /api/targets/severity-chart для получения данных об уникальных уязвимостях за определённый период как для всех целей, так и для отдельной.

Изменения

  • Браузер по умолчанию для генератора отчётов теперь располагается в каталоге /usr/bin/fuchsia-chrome.
  • Все поля, содержащие время, приведены к стандарту UTC.
  • Для списка ограничений URL-адресов добавлена возможность отключения, а также валидация каждого значения в списке.
  • Для групп целей и сканирований добавлено поле описания.

Исправления

  • Исправлена ошибка, при которой цель в редких случаях могла определяться неправильно при запуске сканирований через fuchsiactl или сторонний экземпляр серверной части.
  • При обновлении пакета для серверной части больше не сбрасываются настроенные в конфигурации адрес базы данных и адрес генератора отчётов.

Сканер fuchsiad

Добавлено

  • Для детектора аномалий добавлена возможность анализировать статус-коды и настраивать параметр RPS.

Изменения

  • Для детектора аномалий переработана структура файла конфигурации.

Модуль анализа клиентского JavaScript-кода

Исправления

  • Добавлено ограничение, отсутствие которого в редких случаях могло приводить к зависанию или аварийному завершению работы анализатора.

Модули сканирования

Изменения

  • Для модуля поиска уязвимостей типа Stored XSS изменён приоритет, и он теперь запускается позже.
  • Для модуля поиска уязвимостей типа Stored XSS включена дедупликация страниц.
  • Для сканера десериализации недоверенных данных в PHP теперь используется обобщённый API для поиска основанных на времени проверок недостатков.
  • Для сканера SSTI оптимизировано число запросов.

Дистрибутив для Debian

Добавлено

  • Добавлена поддержка Debian версии 12 («bookworm»).

v25.11.1 — 23.06.2025

Панель управления

Исправления

  • Исправлена ошибка, из-за которой в модальном окне быстрого создания сканирования не отображался список целей.

v25.11 — 17.06.2025

Панель управления

Исправления

  • Исправлена ошибка, из-за которой на мобильных устройствах не была видна нижняя часть главного меню.
  • Исправлена ошибка, из-за которой в мастере создания и модальном окне быстрого создания сканирования при поиске по списку целей не учитывались совпадения, если адрес цели закодирован.

Серверная часть

Изменения

  • Улучшена фильтрация данных динамики уязвимости.

Исправления

  • Исправлена ошибка, при которой сканирования и цели могли зависнуть в состоянии удаления из-за повторного подключения сканера.

🕸 Модуль динамического веб-краулинга

Исправления

  • Исправлена ошибка, из-за которой модуль в редких случаях аварийно завершал работу в результате тайм-аута, не дожидаясь завершения внутренних процессов.

Модуль анализа клиентского JavaScript-кода

Изменения

  • Улучшено время работы анализатора на сайтах, использующих Google reCAPTCHA.

Исправления

  • Исправлена ошибка «RangeError: Invalid array length», приводившая в редких случаях к аварийному завершению работы анализатора.
  • Исправлена ошибка при работе анализатора с кодом, обработанным упаковщиком модулей, приводившая в редких случаях к аварийному завершению работы.

Модули сканирования

Добавлено

  • Для модуля пассивного сигнатурного анализа Powby2 добавлены пометки о категориях выявляемых технологий: операционная система, веб-сервер, система управления содержимым и другие.

Дистрибутив для Docker Compose

Добавлено

  • Добавлены новые переменные окружения. Подробную информацию о них можно найти в разделе.

Изменения

  • В качестве базового образа панели управления теперь используется образ nginxinc/nginx-unprivileged:stable-bullseye.

v25.10.1 — 18.06.2025

Серверная часть

Исправления

  • Исправлена ошибка запроса, которая возникала при отсутствии данных о динамике уязвимости.

v25.10 — 03.06.2025

Важно

Начиная с версии v25.10 необходимо использовать PostgreSQL 16 с подключенным расширением TimescaleDB. Более ранние версии или версии без расширения TimescaleDB больше не поддерживаются. Рекомендуется выполнить инструкции:

  • по обновлению PostgreSQL для Docker Compose;
  • по обновлению PostgreSQL для GNU/Linux;
  • по установке расширения TimescaleDB.

Панель управления

Изменения

  • Детализация конечных точек перенесена из модального окна в боковую панель.

Исправления

  • Метки времени для данных динамики уязвимости более не зависят от серверного времени.

Серверная часть

Добавлено

  • Добавлена поддержка статусов уязвимостей: actual, falsePositive, confirmed, fixed, regression.
  • Статус falsePositive влияет на отображение уязвимостей в графике «Динамика уязвимости».
  • Добавлена поддержка расширения TimescaleDB. Начиная с версии v25.10, его наличие в базе данных обязательно.
  • Добавлена поддержка запроса динамики уязвимости для отдельной цели.
  • Добавлена поддержка работы с временными окнами для точек графика «Динамика уязвимости». При запросе данных через HTTP API теперь можно указать параметры resolution и timezone.
  • Добавлена поддержка дополнительных параметров для журнала аудита, включая IP-адрес пользователя, совершившего действие.

Изменения

  • Начиная с версии v25.10 поддерживается только PostgreSQL версии 16 с расширением TimescaleDB. Более ранние версии более не поддерживаются.
  • Снижено потребление ресурсов при неудачной попытке повторной синхронизации сканирований.
  • Убрана настройка keepalive для gRPC-соединения между серверной частью и сканером для уменьшения нагрузки на соединение.
  • Серверная часть теперь по умолчанию принимает сообщения от сканера размером до 50 МиБ. При необходимости это значение можно изменить через переменную окружения SCANNER_MAX_CALL_RECV_MSG_SIZE_MB.
  • Теперь при построении графика «Динамика уязвимости» учитывается актуальный статус и уникальность уязвимостей целей на определённый период: таким образом график показывает изменение состояния защищённости целей организации.

Исправления

  • Исправлена ошибка, которая могла приводить к аварийной остановке серверной части при потере соединения с базой данных.
  • Исправлена ошибка, которая в редких случаях могла приводить к зависанию сканирования в активном состоянии вследствие его удаления.

Сканер fuchsiad

Изменения

  • Команда fuchsiactl scan_stats теперь отображает фактическое время работы модулей, не включающее паузу.

🕸 Модуль динамического веб-краулинга

Исправления

  • Исправлена ошибка, при которой краулер продолжал работать по достижении тайм-аута выполнения.

Дистрибутив для Docker Compose

Изменения

  • В качестве образов баз данных для cканера fuchsiad и серверной части теперь используется timescale/timescaledb:latest-pg16.

v25.9 — 20.05.2025

Панель управления

Добавлено

  • Для сканирований добавлен статус «С замечаниями», означающий, что в целом сканирование завершено успешно, но в нём отработали не все модули.

Исправления

  • Исправлена ошибка, которая могла приводить к циклической перезагрузке страницы.

Серверная часть

Добавлено

  • Добавлена поддержка переменной окружения DATABASE_URI_FILE, которая позволяет считывать строку подключения к базе данных из файла.
  • Добавлена поддержка переменной окружения LOG_FILE, которая задаёт файл для журналирования серверной части в формате JSON.
  • Добавлена поддержка нового статуса сканирования DONE_WITH_WARNINGS.
  • Добавлена поддержка просмотра журналов модулей сканирования.
  • Добавлена поддержка установки адреса генератора отчёта через debconf.

Исправления

  • Исправлена ошибка, возникшая в версии v25.7, из-за которой HTTP-запрос /api/scans/{id} не возвращал идентификаторы конечных точек.

Сканер fuchsiad

Добавлено

  • Добавлена возможность передавать fuchsiad пути до нескольких конфигурационных файлов. В случае наличия пересекающихся полей, приоритет будет отдан значениям, находящимся в последнем переданном файле.
  • Добавлена поддержка включения детектора аномалий трафика через fuchsiactl.
  • Добавлен новый статус сканирования DONE_WITH_WARNINGS.
  • В стандартную поставку модулей добавлен модуль поиска уязвимостей типа Stored XSS.

Модуль анализа клиентского JavaScript-кода

Добавлено

  • Повышено покрытие анализатора за счёт добавления поддержки встроенной функции Object.defineProperty.

Изменения

  • Повышено покрытие анализатора за счёт улучшенного обнаружения библиотеки axios.

Модули сканирования

Добавлено

  • Для модуля пассивного сигнатурного анализа Powby2 добавлена поддержка взаимосвязей между сигнатурами: зависимостей одной сигнатуры от другой, взаимного исключения, а также автоматического выявления одной сигнатуры на основе выявления другой.

Изменения

  • Теперь для сканера SSTI, если возникла ошибка при выполнении запроса для подсчета базового времени ответа, работа модуля завершается с нулевым кодом.

v25.8 — 06.05.2025

Панель управления

Изменения

  • Всплывающая подсказка для графика «Динамика уязвимости» теперь содержит больше деталей.

Исправления

  • Исправлена ошибка, из-за которой неверно отображался размер PDF-отчёта, если его генерация завершилась неудачно.

Серверная часть

Добавлено

  • Добавлена поддержка проверки активности генератора отчётов.

Изменения

  • Изменен неявный способ создания первого сканера через переменную окружения FUCHSIAD. Теперь сканер по умолчанию можно создать с помощью вызова HTTP API или через SolidPoint CLI.
  • Улучшена работа сервиса синхронизации сканирований, повышена отзывчивость серверной части на изменение состояния выполняемого сканирования.
  • Улучшена производительность благодаря уменьшению количества запросов к сканеру во время синхронизации сканирований.

Исправления

  • Исправлена проверка уникальности значений аутентификационных данных. Проверка уникальности «hostname + path» имеется только для базовой HTTP-аутентификации.

Генератор PDF-отчётов

Добавлено

  • Добавлена поддержка отображения декодированного URL-адреса в PDF-отчётах.

Изменения

  • Для работы генератора PDF-отчётов теперь по умолчанию используется входящий в состав дистрибутива браузер.

Сканер fuchsiad

Изменения

  • Теперь аварийное завершение работы модулей обнаружения контролируемых сериализованных данных и сигнатур Powby2 не прерывает сканирование.

Модуль анализа клиентского JavaScript-кода

Изменения

  • Улучшено покрытие анализатора за счёт добавления поддержки библиотеки ky и возможности вызова переименованного объекта axios как функции.

Модуль выявления конечных точек GraphQL

Изменения

  • Пересмотрен уровень критичности событий при журналировании.

Модули сканирования

Добавлено

  • Для модуля пассивного сигнатурного анализа Powby2 добавлена поддержка сигнатур Wappalyzer типа «meta».

Дистрибутив для Debian

Изменения

  • Сканер по умолчанию теперь создаётся через SolidPoint CLI.

Дистрибутив для Docker Compose

Изменения

  • Теперь при запуске системы проверяется наличие сканера. Если сканер ещё не заведён, то он создается через вызов HTTP API с адресом, указанным в переменной FUCHSIAD_ADDR в файле конфигурации docker-compose.yml.
  • Сервисы SolidPoint Compose теперь запускаются не суперпользователем (root).

v25.7 — 22.04.2025

Серверная часть

Добавлено

  • Для фильтрации по URL-адресам добавлена поддержка специальных символов.
  • Добавлены параметр decodedUrl для публичных моделей цели и сканирования и параметры decodedHostname и decodedPath для аутентификационных данных цели и сканирования. Данные параметры отображают декодированную версию URL-адреса (или его частей), если он закодирован (Punycode, URL-encoded формат и т.д.).
  • Добавлен параметр isValidUrl для публичных моделей цели и сканирования, который определяет, является ли URL-адрес валидным.

Исправления

  • Исправлена ошибка, из-за которой для ещё не запущенных и поставленных на паузу сканирований отображался статус «PENDING».
  • Исправлено поведение, запрещавшее редактирование цели при невалидном URL-адресе. Теперь для таких целей можно изменять описание и параметры, не связанные с URL-адресом.
  • Исправлена валидация якоря «#» для URL-адресов. Теперь путь (минимальный: «/») обязателен при добавлении якоря, само значение якоря может быть пустым.

Генератор PDF-отчётов

Добавлено

  • В PDF-отчёте теперь отражается информация об использовании аутентификации через локальное хранилище.

Исправления

  • Исправлена ошибка, из-за которой в PDF-отчёт попадала информация об имевшихся у цели способах аутентификации, отключенных на момент сканирования.

🕸 Модуль динамического веб-краулинга

Исправления

  • Исправлена ошибка, приводившая в некоторых случаях к перемешиванию вывода разных точек входа.

Модули сканирования

Добавлено

  • Для модуля пассивного сигнатурного анализа Powby2 добавлена поддержка сигнатур Wappalyzer типа «dom».

Дистрибутив для Docker Compose

Изменения

v25.6.1 — 11.04.2025

Панель управления

Исправления

  • Каскадное исправление ошибки, устранённой в версии v25.4.1.

v25.6 — 08.04.2025

Панель управления

Изменения

  • При запуске сканирования из списка целей теперь по умолчанию запускается полное сканирование с использованием дирбастера.
  • При попытке запустить сканирование цели с некорректным форматом адреса теперь отображаются всплывающие уведомления.

Исправления

  • Исправлена ошибка, из-за которой при повторении сканирования не учитывался параметр использования дирбастера.
  • Исправлено поведение, из-за которого статус сканирования ошибочно мог отображаться как «Приостановка».
  • Исправлена ошибка, из-за которой пользователи с ролями «Аналитик» и «Только для чтения» не могли управлять токенами доступа.

Серверная часть

Добавлено

  • Добавлен единый механизм отслеживания фоновых действий для сканирований и целей.

Исправления

  • Исправлено поведение, из-за которого механизм отслеживания действий со сканированием ошибочно мог сохранять его фоновый статус как «Pausing».

Генератор PDF-отчётов

Добавлено

  • В PDF-отчёты добавлена информация об общем числе запросов и среднем времени ответа цели на запрос.

Сканер fuchsiad

Добавлено

  • В консольный клиент fuchsiactl добавлена команда вывода версии fuchsiactl --version.
  • В консольный клиент fuchsiactl добавлена возможность посмотреть количество статус-кодов во время сканирования в зависимости от времени c шагом в минуту. Для этого можно использовать команду fuchsiactl scan_stats.

Изменения

  • Исполняемый файл консольного клиента fuchsiactl теперь содержит его версию.

Исправления

  • Исправлена ошибка, из-за которой настройки обновления аутентификационных данных могли ошибочно попадать в последующие сканирования.
  • Исправлена ошибка, которая не позволяла удалять сканирования, осуществлённые с использованием механизма обновления аутентификационных данных.

🕸 Модуль динамического веб-краулинга

Исправления

  • Исправлено возможное зависание модуля при аварийном завершении процесса анализа.

Модуль анализа клиентского JavaScript-кода

Изменения

  • Повышена точность работы анализатора благодаря более корректной обработке оператора «,».

Модули сканирования

Добавлено

  • Для модуля пассивного сигнатурного анализа Powby2 добавлена возможность помечать специальным образом срабатывания сигнатур, несущие информацию о сторонних серверах, но ресурсы с которых используются на страницах анализируемого приложения.
  • Для модуля динамического анализа страницы добавлена обработка стоков DOM XSS библиотеки jQuery.

v25.5.1 — 11.04.2025

Панель управления

Исправления

  • Каскадное исправление ошибки, устранённой в версии v25.4.1.

v25.5 — 25.03.2025

Панель управления

Добавлено

  • В модальное окно быстрого создания сканирования добавлен переход к мастеру создания сканирования.

Изменения

  • В мастере создания сканирования модули при выборочном типе сканирования теперь отсортированы по алфавиту.
  • При создании сканирований теперь отображаются всплывающие уведомления об этом.
  • К имеющимся модальным окнам и мастерам создания и редактирования сущностей: сканирования, цели и токена — добавлена маршрутизация. Теперь все всплывающие окна имеют URL-адрес, через который к ним можно обратиться.
  • На странице детализации сканирования из карточки информации о сканировании убран счётчик отработавших модулей.

Исправления

  • Исправлена ошибка, приводившая к невозможности удаления отчёта о сканировании, генерация которого завершилась неудачно.
  • Исправлена ошибка, из-за которой при некоторых условиях обрезалась дата создания сканирования в общем списке.

Серверная часть

Добавлено

  • Добавлена поддержка модуля выявления конечных точек GraphQL.
  • Для пользователей с ролями «аналитик» и «только для чтения» добавлена возможность редактирования профиля.

Изменения

  • Уменьшена нагрузка на сканер fuchsiad при взаимодействии с новыми сканированиями.

Исправления

  • Исправлена ошибка, при которой запуск сканирования c некорректным URL-адресом приводил к возврату некорректного кода состояния HTTP.

Генератор PDF-отчётов

Добавлено

  • В PDF-отчёты добавлена информация о типе сканирования, использовании дирбастера, ID сканирования и ID сканируемой цели.

Исправления

  • Для пользователей с ролью «аналитик» добавлено разрешение на запуск генерации отчётов.

Сканер fuchsiad

Добавлено

  • В стандартную поставку модулей добавлен модуль выявления конечных точек GraphQL.

Исправления

  • Исправлена ошибка «string field contains invalid UTF-8», возникающая при получении файлов журнала.

Модуль интеграции с SolidWall WAF

Добавлено

  • Добавлена возможность передать модулю конфигурационный файл для подключения к SolidWall WAF при помощи fuchsiactl. Если конфигурационный файл не был передан таким образом, модуль возьмет его по стандартному пути.

Изменения

  • Модуль теперь принимает строку для подключения к базе данных из конфигурационного файла fuchsiad, а не собственного конфигурационного файла.
  • Модуль теперь принимает маскировочные фильтры из отдельного конфигурационного файла, который может быть передан при помощи fuchsiactl. В случае отсутствия такового, модуль возьмет конфигурационный файл по стандартному пути.

🕸 Модуль динамического веб-краулинга

Изменения

  • Уменьшено время, необходимое для удаления сканирований.

Исправления

  • Исправлена ошибка, при которой во время анализа могли быть упущены элементы с долгой загрузкой.

Модули сканирования

Изменения

  • Для обоих модулей обнаружения Reflected XSS обновлён формат селекторов.
  • Для сканера SSTI уменьшена чувствительность для основанных на времени проверок с целью снижения количества ложноположительных срабатываний.

Исправления

  • Исправлена регрессия, возникшая в версии v25.4 для модуля reflected-xss-cspp. Теперь запуск модуля снова осуществляется по тегам модуля сканирования CSPP.
  • Исправлена ошибка модуля активного сигнатурного анализа Nuclei, при которой временные файлы не удалялись после завершения работы модуля и в случае прерывания его работы.

v25.4.1 — 11.04.2025

Панель управления

Исправления

  • Исправлена ошибка, из-за которой могло не работать переключение между вкладками детализации уязвимости для ролей, отличных от суперадминистратора.

v25.4 — 11.03.2025

Панель управления

Добавлено

  • Добавлены всплывающие уведомления, отображающиеся при приостановке или возобновлении сканирования.

Изменения

  • На страницу детализации сканирования добавлена информация о том, был ли использован дирбастер.
  • На страницу детализации сканирования добавлены ID сканирования и цели.

Исправления

  • Исправлена ошибка, из-за которой при повторной генерации отчёта не отображалось всплывающее уведомление об этом.

Серверная часть

Добавлено

  • Добавлена поддержка сканера десериализации недоверенных данных в PHP.

Исправления

  • Исправлена ошибка, при которой запущенные через панель управления сканирования использовали дирбастер независимо от выбора пользователя.

Генератор PDF-отчётов

Изменения

  • В кратких PDF-отчётах больше не отображается информация о детализации уязвимостей.

Сканер fuchsiad

Добавлено

  • В стандартную поставку модулей добавлен сканер десериализации недоверенных данных в PHP.
  • В модуль пассивного сигнатурного анализа Powby2 добавлена поддержка агрегации срабатываний сигнатур в рамках одного ресурса.
  • Добавлена возможность непрерывной синхронизации локального хранилища между браузерным аутентификатором и модулями сканирования, основанными на браузере.

Изменения

  • Для сканера SSTI при выявлении перенаправления число одновременных потоков для сканирования соответствующего HTTP-запроса понижается до единицы для reflected-техник.

Исправления

  • Исправлена ошибка, приводившая к вычислению отрицательного времени ответа при указании блокируемых адресов.

🕷 Модуль статического веб-краулинга

Добавлено

  • Добавлен адаптивный алгоритм изменения скорости отправки запросов в дирбастере, реагирующий на ошибки сервера.

Изменения

  • Актуализирован словарь дирбастера.
  • Улучшен алгоритм определения страниц «не найдено» в дирбастере.

🕸 Модуль динамического веб-краулинга

Изменения

  • Расширены статические правила фильтрации точек входа.

Модуль анализа клиентского JavaScript-кода

Изменения

  • Повышена надёжность работы в части соответствия выдаваемых модулем данных корректному формату.

Исправления

  • Исправлена ошибка в компоненте распаковки кода, собранного с помощью упаковщика модулей. Ошибка приводила к аварийному завершению при работе с некоторыми видами упаковщиков.

Модули сканирования

Добавлено

  • Для модуля пассивного сигнатурного анализа Powby2 добавлена поддержка сигнатур Wappalyzer для распознавания используемого стека технологий сканируемого приложения. Поддерживаемые типы сигнатур: «headers», «cookies», «url», «html», «scripts», «scriptSrc».

v25.3 — 25.02.2025

Панель управления

Добавлено

  • Добавлена валидация поля «Путь» в аутентификационных данных цели.
  • Для суперадминистратора добавлена возможность генерировать отчёты для сканирований не из своей организации.
  • На страницу детализации сканирования добавлена информация об общем числе запросов и среднем времени ответа цели на запрос.
  • В модальное окно генерации отчёта о сканировании добавлен выбор типа отчёта. Теперь можно генерировать краткие отчёты, не содержащие большие блоки кода.
  • Для панели управления добавлена светлая тема. По умолчанию применяется тёмная тема, изменить предпочтения можно в настройках.

Изменения

  • Улучшено поведение интерфейсов при валидации адреса цели в мастере создания и редактирования цели и в мастере создания сканирования.
  • Улучшено поведение интерфейсов при заполнении данных аутентификации в мастере создания и редактирования цели.
  • В мастере создания и редактирования цели на шаге предпросмотра теперь выводятся все данные аутентификации, даже если аутентификация отключена.
  • В списке целей и мастере создания и редактирования цели добавлена визуальная информация о том, добавлен или нет определённый тип аутентификации, а также применяется ли он к цели в данный момент.
  • На странице детализации сканирования также теперь указано явно, какой тип аутентификации был включен, а какой заполнен, но выключен на момент сканирования.
  • Опция генерации отчёта теперь доступна для всех ролей пользователей, кроме роли «Только для чтения».

Исправления

  • Теперь при вводе адреса электронной почты на страницах аутентификации и регистрации пользователя корректно обрабатываются ошибки при вводе нескольких недопустимых символов подряд.

Серверная часть

Добавлено

  • Добавлена поддержка статистики HTTP-запросов для модулей сканирования.

Изменения

  • Обновлена валидация URL-адресов, теперь они должны соответствовать RFC 1035, RFC 3696 и RFC 3492 для IDN.
  • Обновлена валидация имени хоста для аутентификационных данных цели.
  • Обновлена обработка уникальности адресов целей, теперь они не являются регистрозависимыми.
  • Закодированные и декодированные формы URL-адресов больше не считаются различными.
  • Запрос POST /api/targets/wizard/exist больше не зависит от регистра вводимых данных.

Интерфейс командной строки SolidPoint CLI

Добавлено

  • Для команды scan new-ci при вызове справки -h/--help теперь доступен пример использования с флагом -s/--severity.
  • Добавлена поддержка работы со сканерами.

Исправления

  • Для команды scan new-ci при вызове справки -h/--help исправлено описание: уровень критичности unknown для флага -s/--severity больше не указан как доступная для выбора опция.

Сканер fuchsiad

Добавлено

  • Большинство модулей сканирования теперь сообщают о ходе выполнения работы. Посмотреть прогресс в реальном времени можно с помощью команды fuchsiactl list_scans. Пример результата отработки команды: «RUNNING (30/47 done) path-traversal-scanner».

Исправления

  • Исправлена ошибка «invalid character '(' looking for beginning of value» при получении статистики некоторых сканирований.
  • Исправлена ошибка, возникающая при удалении приостановленного сканирования.

Модули сканирования

Изменения

  • Для сканера SQL-инъекций теперь используется новый формат селекторов.

Модуль анализа клиентского JavaScript-кода

Исправления

  • Исправлена ошибка, приводившая к аварийному завершению работы модуля при обработке кода, создававшего вложенные рекурсивно массивы.

v25.2 — 11.02.2025

Панель управления

Добавлено

  • В мастере создания сканирования добавлена поддержка сканирования с использованием дирбастинга.
  • В мастере создания и редактирования цели добавлена возможность задавать аутентификацию через локальное хранилище (local storage) браузера.

Изменения

  • Улучшена визуализация загрузки списка уязвимостей, найденных при сканировании.

Модули сканирования

Изменения

  • Для сканера XXE-инъекций обновлён формат селекторов.

🕸 Модуль динамического веб-краулинга

Исправления

  • Исправлена регрессия, возникшая в релизе 25.1, следствием которой стало ограничение общего времени работы модуля в 5 минут.

v25.1 — 28.01.2025

Панель управления

Добавлено

  • В список отчётов о сканировании добавлена колонка с размерами файлов.
  • Для графика «Динамика уязвимостей» на главной странице добавлена возможность отключать линии с уровнями критичности.
  • Добавлены операции приостановки и возобновления сканирований из интерфейсов.
  • Добавлена возможность генерировать PDF-отчёты на русском и китайском языках.
  • Добавлена возможность генерировать несколько PDF-отчётов одновременно.

Изменения

  • Описания типов сканирований в мастере создания нового сканирования теперь размещаются в выпадающем списке выбора типа.
  • В модальном окне быстрого создания сканирования теперь доступно описание типов сканирования в выпадающем списке выбора типа.
  • Описание типов аутентификации в мастере создания и редактирования цели перенесено из аккордеона в выпадающий список добавления новой аутентификации.

Исправления

  • Теперь для сканирований, стоящих в очереди на удаление, не отображается меню операций.
  • Исправлена локализация чисел в графиках и диаграммах.
  • Исправлена ошибка, из-за которой при переключении языка интерфейса некоторые тексты дублировались на нескольких языках.

Серверная часть

Добавлено

  • Добавлена поддержка настройки механизма проверки аутентификации.

Изменения

  • Теперь запрос POST /api/targets/wizard/exist не чувствителен к регистру вводимых данных.

Интерфейс командной строки SolidPoint CLI

Добавлено

  • Добавлен флаг --severity для команды scan new-ci, который позволяет сканированию завершиться с ошибкой при выявлении уязвимости с указанным уровнем критичности или выше.

Генератор PDF-отчётов

Добавлено

  • Для PDF-отчётов добавлена нумерация страниц.
  • В PDF-отчёты добавлено оглавление для приложений просмотра PDF-файлов, упрощающее навигацию по документу.

Исправления

  • Исправлена ошибка вёрстки PDF-отчётов, из-за которой некоторые заголовки таблиц накладывались на содержимое.
  • Для PDF-отчётов исправлено отображение статусов для модулей.

Сканер fuchsiad

Добавлено

  • Добавлена поддержка аутентификации с помощью браузерного сценария. Сценарий необходимо записывать с помощью Chrome Recorder, экспортировать в виде файла в формате JSON и указывать его при конфигурации сканирования. Полученные после выполнения сценария cookie и пары ключ-значение из локального хранилища можно использовать для обновления аутентификационных данных сканирования, cookie или других заголовков.
  • В gRPC API добавлены методы для получения статистики сканирования: общего количества запросов и среднего времени ответа.

🕷 Модуль статического веб-краулинга

Исправления

  • Исправлена некорректная работа модуля в случае, когда порт по умолчанию явно прописан в URL-адресе (например, https://example.com:443/).

Модули сканирования

Добавлено

  • Модуль обнаружения контролируемых сериализованных данных теперь анализирует не только тела ресурсов и cookie, но и параметры найденных точек входа.

Изменения

  • Версия ядра Nuclei обновлена до 3.3.8 для устранения CVE-2024-43405.
  • Публичные шаблоны Nuclei обновлены до актуальной версии.

Исправления

  • Для сканера SQL-инъекций исправлена ошибка, при которой поле «Описание» не заполнялось в отчёте.

Изменения за предыдущий год