Перейти к содержанию

Описание изменений за 2025 год

v25.24.1 — 22.12.2025

Серверная часть

Исправления

  • Исправлен конфликт задач сканирования, который в редких случаях мог возникать при синхронизации.

v25.24 — 16.12.2025

Панель управления

Добавлено

  • В панели детализации уязвимости сканирования теперь выводится дополнительная информация о векторах атаки.

Изменения

  • На странице детализации сканирования отчёты вынесены в отдельную вкладку.

Исправления

  • Исправлена ошибка, возникающая при подсчёте числа уязвимостей для графиков в том случае, если несколько из них были помечены как «Не уязвимость». Теперь общее количество уязвимостей на круговой диаграмме на главной странице всегда отображается корректно.

Серверная часть

Добавлено

  • Добавлены запросы для получения журнала задач сканирования по имени модуля:
    • GET /api/scans/{scanID}/jobs/{moduleName}/logs возвращает журнал;
    • GET /api/scans/{scanID}/jobs/{moduleName}/logs/file возвращает журнал в виде файла.

Изменения

  • Поле jobs в запросе GET /api/scans/{id} больше не содержит информацию о статистике работы каждого модуля: количестве запросов и времени ответа на них.
  • В запрос GET /api/scans/{id} добавлена информация о статистике работы сканирования: среднем времени ответа на запрос и общем числе запросов по всему сканированию.
  • Из запроса GET /api/targets/{id}, исключены данные о списке сканирований для цели. Чтобы получить список сканирований этой цели, следует использовать запрос с фильтрами: GET /api/scans?targetID=eq:{id}. Для этого запроса также добавлен параметр scansCount — количество сканирований этой цели.

Исправления

  • Исправлена ошибка, возникающая при подсчёте числа уязвимостей для графиков в том случае, если несколько из них были помечены как «Не уязвимость».

Интерфейс командной строки SolidPoint CLI

Исправления

  • Теперь при успешной аутентификации во время вызова команды сессия сохраняется, даже если выполнение самой команды завершилось ошибкой. Сообщения об ошибках аутентификации больше не дублируются.

Сканер fuchsiad

Добавлено

  • Добавлена возможность загрузки конфигурации модулей сканирования одновременно из директорий /run/fuchsia/pipeline.d, /etc/fuchsia/pipeline.d и /usr/lib/fuchsia/pipeline.d.: для этого необходимо обновить конфигурационный файл /etc/fuchsia/config.yml.

Изменения

  • Повышена точность работы модулей со значениями RPS. Ранее HTTP-запросы модулей попадали в очередь, что могло негативно сказываться на отработке техники атак. Теперь каждому запускаемому процессу модуля сообщается индивидуально рассчитанное значение RPS.

Исправления

  • Исправлена проблема обращения к журналам сканирования, которая вызывала утечку памяти.

🕷 Модуль статического веб-краулинга

Изменения

  • Записи журнала стали понятнее и информативнее: если ресурсы не найдены, в журнале будет показана ошибка с соответствующим текстом.

🕸 Модуль динамического веб-краулинга

Добавлено

  • Теперь модуль может принимать настройки внутренних и внешних тайм-аутов через параметры консольного клиента fuchsiactl.

Изменения

  • Реализовано ограничение на загрузку файлов для повышения безопасности процесса сканирования.
  • Улучшен процесс автогенерации содержимого для заполнения числовых полей. Теперь для всех полей используется одно и то же число, что предотвращает создание лишних конечных точек.
  • Теперь при заполнении форм алгоритм нажимает клавишу Enter в каждом поле только после заполнения всех полей на странице, что исключает преждевременную отправку формы.

Исправления

  • Для модуля поиска уязвимостей типа Stored XSS исправлены ошибки сканирования, при которых некоторые URL-адреса могли быть просканированы только с одним вектором атаки.

Модуль анализа клиентского JavaScript-кода

Изменения

  • Реализовано ограничение на загрузку файлов для повышения безопасности процесса сканирования.

Модуль выявления конечных точек GraphQL

Добавлено

  • Теперь в случае успешного получения GraphQL-схемы модуль генерирует описание конечных точек, основываясь на данных полученной схемы.

Модули сканирования

Добавлено

  • В стандартную поставку добавлен модуль обнаружения недостатков, описанных расширенными сигнатурами Nuclei. Он используется для активного сканирования найденных конечных точек и поддерживает возможность задавать на конкретной конечной точке условия, определяющие, будет ли она проанализирована.
  • Для сканера небезопасной десериализации в Java добавлен поиск среди конечных точек с выявленными Java-сериализованными объектами.
  • Для сканера SSTI добавлена возможность настройки минимального времени ожидания сервера для валидации out-of-band атак.

Изменения

  • Для сканера небезопасной десериализации в Java улучшено журналирование, объём журналов оптимизирован.
  • Для сканера shell-инъекций добавлена проверка, основанная на задержке ответа от сервера при помощи обобщенного API с использованием статистической модели.

Дистрибутив для Docker Compose

Добавлено

  • Добавлена возможность динамического изменения лимитов количества выполняемых задач и сканирований с помощью команды fuchsiactl config.

Изменения

  • В поставке Docker Compose теперь зафиксированы определённые версии PostgreSQL и MinIO.

v25.23.1 — 04.12.2025

Модули сканирования

Добавлено

  • Добавлен шаблон Nuclei для уязвимости CVE-2025-55182 в React.

v25.23 — 02.12.2025

Панель управления

Добавлено

  • Добавлены всплывающие уведомления, отображающиеся при удалении целей.

Изменения

  • Для детализации уязвимости во вкладке «Подтверждение» временно отключена подсветка синтаксиса в полях «Запрос» и «Ответ», если их содержимое превышает 500000 символов в закодированном виде.
  • Страница детализации сканирования теперь разделена на вкладки, позволяющие быстро перейти к нужной информации.

Исправления

  • Исправлена ошибка, которая возникала при обработке поля response.blob большого размера и приводила к недоступности детализации уязвимости при открытой вкладке «Подтверждение».

Серверная часть

Добавлено

  • Добавлены новые запросы GET /api/scans/{id}/jobs и GET /api/scans/{id}/jobs/{jobID}/issues, возвращающие информацию о задачах сканирования и выявленных уязвимостях.

Изменения

  • Запросы на проверку настроек LDAP‑аутентификации теперь доступны только для пользователей с ролью «Суперадминистратор».
  • Теперь при создании цели через синхронизацию ей присваиваются параметры из последнего сканирования.

Исправления

  • Исправлена ошибка, из‑за которой проверки логина, пароля и существования пользователей могли в некоторых случаях не работать для LDAP‑аутентификации.

Интерфейс командной строки SolidPoint CLI

Добавлено

  • Для целей добавлена настройка механизмов контроля сессии.
  • Для команд добавлена проверка аутентификации. Если аутентификация не выполнена, интерфейс предлагает её пройти, после чего команда выполняется.

Сканер fuchsiad

Добавлено

  • В запросе на сканирование теперь можно указать в настройках дедупликации страниц их желаемое максимальное количество. Указанное значение не всегда может быть достигнуто, однако при указании этого ограничения алгоритм работает строже, проводя дедупликацию итеративно до момента достижения цели или пока дедупликация возможна.

Модуль импортирования OpenAPI-спецификаций

Добавлено

  • Добавлена возможность принимать OpenAPI‑спецификацию по ссылке.

Модули сканирования

Добавлено

  • Для сканера небезопасной десериализации в Java добавлена возможность выявлять уязвимости, основанные на задержке HTTP‑ответа.
  • Для сканера SSTI добавлена поддержка генератора шаблонов doT.

v25.22.1 — 21.11.2025

Серверная часть

Исправления

  • Исправлена ошибка вида «invalid memory alloc 1200570220 request size in line 0», которая могла возникать из-за некорректной обработки журналов большого размера.

v25.22 — 18.11.2025

Панель управления

Добавлено

  • Добавлена возможность фильтрации по уровню критичности списка уязвимостей, найденных при сканировании.

Исправления

  • Исправлена горизонтальная прокрутка таблиц с данными в браузере Firefox.

Серверная часть

Добавлено

  • Добавлен запрос GET /api/scans/{id}/jobs/{jobID}/logs/file, который позволяет скачать файл в формате NDJSON, содержащий полный журнал модуля сканирования.
  • Добавлен запрос GET /api/restrictions/string-params, который позволяет получить строковые ограничения всех возможных полей.

Изменения

  • Параметры аутентификации пользователя, кроме логина, больше не журналируются.
  • Теперь записи журнала модулей сканирования обрабатываются, хранятся и читаются по частям. При запросе такого журнала установлено максимальное ограничение в 1024 последних записи.
  • Для запроса GET /api/scans/{id}/jobs/{jobID}/logs установлено ограничение типа записей журнала модуля сканирования, по умолчанию standard.

Исправления

  • Исправлена ошибка, которая возникала из-за превышения количества символов в полях ввода при создании пользователей, целей и токенов.

Сканер fuchsiad

Добавлено

  • Для детектора аномалий добавлена возможность отмены сканирования при обнаружении определённых аномалий.

🕸 Модуль динамического веб-краулинга

Изменения

  • Теперь в режиме поиска Stored XSS отправка навигационных запросов не блокируется, а ответ игнорируется браузером.

Модули сканирования

Добавлено

  • Для сканера SSTI добавлена возможность отправлять векторы атаки без кодирования в теле и параметрах POST‑запроса.

Изменения

  • Уровень критичности уязвимости «небезопасная десериализация в Java» повышен с высокого до крайне высокого.

Исправления

  • Для модуля обнаружения Reflected XSS исправлены ошибки вида «Protocol error: Unsafe header». Теперь при выполнении HTTP‑запросов модуль считает небезопасным и не подставляет в выполняемый запрос тот же список заголовков, что и браузер Chromium.

v25.21.1 — 11.11.2025

Серверная часть

Исправления

  • Исправлена ошибка синхронизации целей и используемых ими технологий.
  • Исправлена ошибка, из-за которой синхронизация тегов сканирований разных сканеров могла работать некорректно.

v25.21 — 04.11.2025

Панель управления

Изменения

  • Теперь на странице детализации сканирования в карточке «Модули» сортировка осуществляется в порядке начала работы модулей.

Серверная часть

Добавлено

  • Добавлена возможность выявлять и актуализировать используемые целью технологии.

Исправления

  • Исправлена ошибка, из-за которой сканирование, созданное через консольный клиент fuchsiactl без модуля статического веб-краулинга, могло синхронизироваться с опцией withDirbuster.
  • Исправлена зависимость запроса на сканирование от регистра URL-адреса.

Модуль импортирования OpenAPI-спецификаций

Исправления

  • Исправлена ошибка, возникающая в режиме работы консольного клиента при передаче спецификации без поля servers.

Модуль импортирования HAR-файлов

Добавлено

  • Добавлена фильтрация конечных точек по доменам.

Модули сканирования

Изменения

  • Для сканера shell‑инъекций векторы атаки теперь могут отправляться без экранирования спецсимволов командной оболочки.

v25.20 — 21.10.2025

Панель управления

Исправления

  • Исправлена ошибка, в некоторых случаях приводящая к тому, что неверно заполненное поле ограничения RPS могло блокировать мастер создания и редактирования цели для дальнейших изменений.

Серверная часть

Добавлено

  • Добавлена поддержка модуля импортирования конечных точек из HAR-файлов.
  • Добавлена поддержка «сырого» запроса на сканирование для пользователей с ролью суперадминистратор. «Сырым» называется запрос, который передаётся напрямую в сканер без стандартной валидации серверной частью.
  • Теперь в списке сканирований содержатся настройки: аутентификационные данные, спецификация API, конфигурация модуля интеграции с SolidWall WAF.

Изменения

  • При создании нового сканирования по идентификатору предыдущего теперь применяются актуальные параметры цели.

Интерфейс командной строки SolidPoint CLI

Добавлено

  • Добавлена поддержка аутентификации сканируемого приложения через локальное хранилище.

Сканер fuchsiad

Добавлено

  • В gRPC-методе Fuchsiad.GetJobLog добавлена возможность скачать запись журнала частично.
  • В записях журнала обобщённого API теперь отображается идентификатор запроса.
  • При запуске сканирования через консольный клиент fuchsiactl с использованием JSON-файла теперь есть возможность указать не только регулярное выражение для URL-адреса, по которому необходимо блокировать запросы, но и регулярное выражение для тела запроса.
  • Сервер для валидации out-of-band атак теперь настраивается централизованно через конфигурационный файл fuchsiad для всех модулей, выявляющих данный тип атак.

Изменения

  • Тайм-аут проверочного запроса механизма проверки аутентификации по умолчанию увеличен с 10 до 30 секунд.

Исправления

  • Исправлена ошибка «publicsuffix: empty label in domain», приводившая в редких случаях к сбою в сканировании при нахождении запросов к серверу.
  • Исправлена ошибка, из-за которой тайм-аут проверочного запроса механизма проверки аутентификации не мог превышать 10 секунд.

🕸 Модуль динамического веб-краулинга

Изменения

  • Повышена стабильность работы:
    • добавлена защита от ошибок, возникающих при срабатывании внутреннего тайм-аута в процессе обработки внутренних страниц.
    • добавлена защита от ошибок, которые могут возникать из-за перенаправлений, вызванных собственным клиентским кодом анализируемой страницы.

Модули сканирования

Добавлено

  • Для сканера shell-инъекций добавлена проверка на основе задержки ответа от сервера c использованием обобщенного API.

Изменения

  • Исправлена оценка CVSS для уязвимости NoSQL.
  • Исправлена CWE для уязвимости Weak Password.

Исправления

  • Для модулей обнаружения контролируемых сериализованных данных и сигнатур Powby2 исправлена ошибка «SignatureDoesNotMatch», иногда возникающая при работе с Ceph.

v25.19.1 — 13.10.2025

Сканер fuchsiad

Исправления

  • Исправлена ошибка, из-за которой модули динамического анализа страницы были неработоспособны.

v25.19 — 07.10.2025

Панель управления

Изменения

  • Для больших таблиц с данными добавлена горизонтальная прокрутка с захватом.
  • В мастере создания сканирования изменён порядок шагов: теперь выбор целей происходит перед выбором типа сканирования.
  • Запустить сканирование из мастера создания сканирования теперь можно сразу после выбора цели, не проходя все шаги до конца.

Серверная часть

Добавлено

  • Добавлен автоматический повтор неудавшейся миграции при перезапуске сервиса.
  • Добавлен запрос GET /api/scans/{id}/software-versions для получения списка программного обеспечения, выявленного в рамках сканирования.

Интерфейс командной строки SolidPoint CLI

Добавлено

  • Для команд, поддерживающих только интерактивный режим, добавлена поддержка флагов.

Изменения

  • Аутентификация больше не является обязательной в однопользовательском режиме, а сообщения об ошибках аутентификации многопользовательского режима стали конкретнее.

Сканер fuchsiad

Добавлено

  • В стандартную поставку модулей добавлен модуль импортирования конечных точек из HAR-файлов.
  • Добавлена возможность повторного запуска сканирования через fuchsiactl.
  • Механизм проверки аутентификации теперь журналирует в формате Base64 тела ответов, приводящих к невыполнению критериев аутентификации.

Исправления

  • Исправлена ошибка, из-за которой корневой URL-адрес сканирования не всегда игнорировался при дедупликации страниц.

🕷 Модуль статического веб-краулинга

Изменения

  • Переработано журналирование дирбастера для явного разделения внутренних процессов и упрощения чтения записей.

Модули сканирования

Исправления

  • Для сканера отражённого межсайтового скриптинга исправлена ошибка, из-за которой тело HTTP-запроса в отчёте могло не содержать вектор атаки.
  • Для сканера SSTI исправлена ошибка «URL not contains required param», которая могла возникать при обновлении ключа строки запроса.

v25.18 — 23.09.2025

Панель управления

Добавлено

  • В списке сканирований теперь выводятся маркеры для визуализации уровней угрозы найденных при сканировании уязвимостей.
  • Для краткого вывода информации об аутентификации добавлено отображение параметров, наследуемых от адреса цели, если они не были указаны отдельно. Теперь имя хоста и порт отображаются всегда, если данный тип аутентификации их поддерживает.

Изменения

  • Теперь пользователь неактивированного аккаунта видит сообщение о том, что ему необходимо дождаться активации аккаунта администратором.

Исправления

  • Исправлена ошибка, из-за которой в полях «Запрос» и «Ответ» в панели детализации уязвимости могли отображаться нечитаемые символы.
  • Исправлена ошибка, которая не позволяла сохранять изменения в мастере создания сканирования при указании порта для аутентификации через заголовок запроса.

Сканер fuchsiad

Добавлено

  • Теперь появилась возможность получать информацию о текущем и максимальном количестве выполняемых задач и сканирований, а также изменять их лимиты через fuchsiactl или gRPC.

Исправления

  • Исправлена ошибка, приводившая к сбою в сканировании при наличии в веб-приложении ссылок или запросов с доменами верхнего уровня (eTLD).
  • Исправлена ошибка, связанная с отсутствием домашней директории для обновления аутентификации с помощью браузерного сценария. Теперь при запуске аутентификатора создаются временные директории.

🕸 Модуль динамического веб-краулинга

Изменения

  • Теперь краулер проверяет видимость элементов непосредственно перед взаимодействием.
  • Формат ввода Cookies изменён на более простой и удобный: теперь не требуется вводить массив ключей и значений, достаточно строки с этими данными.
  • Сокращён тайм-аут завершения процессов для краулера, выполнившего все необходимые действия. Теперь время ожидания составляет не более 1 минуты.

Модули сканирования

Добавлено

  • Для сканера SSTI информация о проверяемой технике теперь выводится в журнал. Журналирование ошибок помечено специальным префиксом.

v25.17.1 — 21.09.2025

Серверная часть

Исправления

  • Исправлена ошибка, из-за которой при запуске сканирования через API для цели с настроенным обновлением аутентификации с помощью браузерного сценария содержимое скрипта не передавалось сканеру.

Сканер fuchsiad

Исправления

  • Исправлены ошибки во взаимодействии с веб-приложениями по HTTP при аутентификации с помощью браузерного сценария.

v25.17 — 09.09.2025

Панель управления

Добавлено

  • В мастер создания и редактирования цели теперь можно добавить конфигурации для механизмов проверки и обновления аутентификации при работе сканера с целью.
  • На странице детализации сканирования добавлена анимация для индикатора выполнения.

Изменения

  • Оптимизирована и ускорена загрузка данных на главной странице.
  • Пользователи с правами «Администратор» теперь могут изменять свою электронную почту в настройках профиля.

Серверная часть

Добавлено

  • Добавлены запросы для проверки валидности конфигурации механизмов проверки и обновления аутентификации.
  • Добавлена валидация диапазона HTTP-статус-кода, задаваемого как критерий успешности проверки в конфигурации механизма проверки аутентификации.

Изменения

  • Запрос /api/targets/files-info теперь выводит информацию о формате и размере скрипта, ожидаемого для конфигурации механизма обновления аутентификации с помощью браузерного сценария.
  • Для конфигурации механизма обновления аутентификации поле criterions заменено на criteria.
  • Теперь при ошибке создания уже существующей цели в тексте ошибки указывается идентификатор этой цели.

Исправления

  • Исправлена ошибка, при которой общее количество сканирований вычислялось неверно.

Интерфейс командной строки SolidPoint CLI

Добавлено

  • Добавлена проверка доступности панели управления по указанному адресу.

Сканер fuchsiad

Добавлено

  • Для команды fuchsiactl scan --modules= при нажатии Tab выводится список доступных аргументов.
  • В библиотеке striker добавлена возможность сохранять Cookie при перенаправлениях.
  • В библиотеке striker поле content_type в параметрах HAR-файлов, принимаемых модулями, заменено на contentType.

Исправления

  • Исправлена ошибка при запуске механизмов проверки и обновления аутентификации, которая могла приводить к зацикливанию алгоритма.

🕸 Модуль динамического веб-краулинга

Добавлено

  • Добавлено взаимодействие с кнопками с тегом <button>.
  • Добавлена возможность активации всех чекбоксов в форме.

Исправления

  • Исправлена ошибка, при которой активные селекторы могли быть нажаты повторно.

Модуль анализа клиентского JavaScript-кода

Добавлено

  • Добавлена поддержка объявленных полей классов.

Исправления

  • Исправлена ошибка типа «состояние гонки», которая могла приводить к некорректному анализу или аварийному завершению работы модуля.

Модули сканирования

  • Для сканера атак методом «грубой силы» добавлены дополнительные проверки успешности аутентификации.

Дистрибутив для Docker Compose

Изменения

  • Теперь загружаемые в MinIO данные снова хранятся в сжатом виде. Пользователям с активным контейнером MinIO рекомендуется пересоздать его с помощью команды docker compose up --force-recreate minio, чтобы изменения вступили в силу.

v25.16 — 26.08.2025

Панель управления

Добавлено

  • Добавлены всплывающие уведомления, отображающиеся при прерывании сканирований.
  • В панели детализации уязвимости добавлена подсветка блоков кода.

Изменения

  • Светлая тема приложения стала более контрастной и удобной.
  • Линейный график «Динамика уязвимости» и круговая диаграмма «Уязвимости» объединены для лучшего представления выводимых данных.

Серверная часть

Добавлено

  • Добавлена возможность запланировать генерацию PDF-отчётов при создании нового сканирования.

Изменения

  • Для роли Администратора теперь доступен запрос POST /api/users/wizard/email-exists, позволяющий проверить наличие учётной записи с указанным адресом электронной почты в базе данных.
  • Улучшена производительность при выполнении запроса записей журналов модулей сканирования.

Интерфейс командной строки SolidPoint CLI

Исправления

  • Исправлена ошибка, при которой для команд с указанными флагами мог включаться интерактивный режим.

Сканер fuchsiad

Добавлено

  • Добавлена возможность настраивать тайм-аут для механизма проверки аутентификации.
  • В конфигурацию механизма проверки аутентификации добавлено поле ignore_redirects, которое позволяет регулировать взаимодействие с перенаправлениями.

Изменения

  • Теперь для записей журнала сканера задаётся параметр Content-Type (по умолчанию text/plain), чтобы оптимизировать хранение.

Модули сканирования

Изменения

  • Стандартные шаблоны Nuclei обновлены до актуальной версии.
  • Шаблон http-missing-security-headers по умолчанию больше не игнорируется.

Дистрибутив для Docker Compose

Изменения

  • Базовые образы обновлены с Debian Bullseye на Debian Bookworm.

Исправления

  • Исправлена ошибка идентификатора пользователя, из-за которой сервис fuchsiad мог не запускаться.
  • Исправлена ошибка, из-за которой при запуске контейнера серверной части скрипт create_scanner.sh мог не дожидаться включения сканера.

v25.15 — 12.08.2025

Панель управления

Добавлено

  • Добавлена возможность указывать порт подключения в параметрах аутентификации цели.
  • На страницу детализации сканирования добавлен прогресс работы модулей.
  • Добавлена возможность ограничивать URL-адреса при сканировании.

Изменения

  • Кнопка «Повторить» на странице детализации сканирования перенесена в карточку «Общая информация».
  • Шаг «Настройки» в мастере создания и редактирования цели разбит на два. Шаг «Ограничения» теперь содержит ограничение количества запросов и список ограничений URL-адресов. Загрузка файла спецификации API вынесена в отдельный шаг.

Исправления

  • Исправлена ошибка, из-за которой в техническом отчёте не отображались данные, если получены конечные точки и не получены ресурсы.

Серверная часть

Добавлено

  • Добавлен запрос POST /api/targets/wizard/valid-url-restriction-list для валидации списка ограничений URL‑адресов.
  • Добавлена поддержка конфигурации механизма обновления аутентификационных данных с помощью браузерного сценария.

Изменения

  • Для строки подключения к PostgreSQL теперь по умолчанию используется порт 5432 вместо 5435.
  • Для роли Администратора расширены права на редактирование данных и создание пользователей. Подробнее в разделе Роли и права пользователя.

Исправления

  • Исправлена ошибка сервиса синхронизации сканирований, которая могла возникать при запросе последних сканирований.

Интерфейс командной строки SolidPoint CLI

Добавлено

  • Добавлена команда about, позволяющая узнать версию продукта.

Сканер fuchsiad

Добавлено

  • Добавлена возможность вывести полную информацию о запросе через консольный клиент fuchsiactl.

Изменения

  • Усилена дедупликация конечных точек для ускорения сканирований.
  • Лимит одновременно выполняемых задач на новых инсталляциях теперь по умолчанию равен количеству ядер CPU.

Модуль импортирования OpenAPI-спецификаций

Добавлено

  • Добавлен флаг --url для задания базового адреса, на основе которого генерируются конечные точки.

Изменения

  • Флаг --use-urls-from-spec более не используется.
  • В качестве базового URL-адреса для генерации конечных точек теперь используется полный URL-адрес цели вместо заголовка запроса origin.

Модуль анализа клиентского JavaScript-кода

Изменения

  • Повышена стабильность и точность работы за счёт прекращения поддержки некоторых возможностей JavaScript‑кода, несущественных с точки зрения результатов анализа.

Модули сканирования

Добавлено

  • Для сканера SQL‑инъекций добавлена возможность задать TCP‑тайм‑аут с помощью флага.

Изменения

  • Для сканера SQL‑инъекций TCP‑тайм‑аут клиента по умолчанию увеличен до 60 секунд.
  • Для сканеров shell‑инъекций и недостатков класса path traversal оптимизирован процесс журналирования.

Исправления

  • Для сканера SQL‑инъекций исправлена ошибка, возникающая в случае проблем TCP‑соединения между клиентской и серверной частью модуля.
  • Для сканера SSTI исправлена ошибка «Wrong path in JSON body», возникающая из-за подставления вектора атаки в некорректную локацию.

Дистрибутив для Debian

Добавлено

  • Deb‑пакет консольного клиента fuchsiactl теперь включает файлы конфигурации автодополнения командной оболочки.

v25.14.1 — 11.08.2025

Панель управления

Исправления

  • Исправлена ошибка, из-за которой могла не открываться добавленная в версии v25.14 страница детализации цели.

v25.14 — 29.07.2025

Панель управления

Добавлено

  • Добавлена страница детализации с общей информацией о каждой цели.

Серверная часть

Добавлено

  • Добавлено сравнение нормализованных URL-адресов для улучшения валидации цели при синхронизации сканирований.
  • Добавлена поддержка регистрации неудачных событий в журнал аудита.
  • Добавлена возможность узнать версию продукта с помощью HTTP-запроса и команды CLI.
  • Добавлен прогресс работы модулей сканирования.

Изменения

  • Улучшена производительность запроса на получение сканирований.

Исправления

  • Теперь при запросе уязвимостей цели нет дублирующихся значений.

Интерфейс командной строки SolidPoint CLI

Добавлено

  • Добавлена обработка статусов сканирования, которые могли появиться в других компонентах, но не были добавлены в CLI.
  • Добавлена поддержка интерактивности для команды scanner.

Исправления

  • Исправлена некорректная обработка статусов сканирования «Приостановлено» и «С замечаниями», которая происходила из-за отсутствия данных статусов в CLI.

Сканер fuchsiad

Добавлено

  • Добавлена поддержка протокола TLS в gRPC-коммуникации с консольным клиентом fuchsiactl, включая опциональную проверку клиентских сертификатов (mutual TLS).

Исправления

  • Исправлена ошибка, в редких случаях приводившая к аварийному завершению работы сервиса при обновлении.

Модуль анализа клиентского JavaScript-кода

Изменения

  • Оптимизирован процесс анализа за счёт переиспользования объектов. Снижено потребление памяти и повышено быстродействие.
  • Повышена стабильность работы анализатора за счёт добавления защиты от ошибок, вызванных перенаправлениями, инициированными собственным клиентским кодом анализируемой страницы.

Исправления

  • Исправлена ошибка, из-за которой к множествам допустимых значений примешивались некорректные данные, что приводило к снижению точности анализа.

Модули сканирования

Исправления

  • Для модуля обнаружения Reflected XSS исправлена ошибка «Protocol error: Unsafe header: proxy-authorization», которая вызывала аварийное завершение работы модуля.
  • Для сканера SSTI исправлены ошибки памяти.
  • Для сканера SSTI уменьшено количество ложных срабатываний.
  • Для сканера десериализации недоверенных данных в PHP и сканера SSTI ошибка в обобщённом API при поиске основанных на времени проверок недостатков больше не приводит к аварийному завершению работы модуля. Теперь в этом случае метод пропускается.

Дистрибутив для Docker Compose

Изменения

  • Для проверки доступности баз данных теперь используется утилита pg_isready вместо wait-for-it.

v25.13.1 — 21.07.2025

Серверная часть

Исправления

  • Исправлена ошибка, которая могла возникнуть при применении фильтров IN и NOT IN.

v25.13 — 15.07.2025

Панель управления

Добавлено

  • В список сканирований добавлена фильтрация по адресу цели.

Изменения

  • Круговая диаграмма «Уязвимости» теперь отображает только уникальные данные за тот же период, что и график «Динамика уязвимости».

Исправления

  • Исправлены ошибки, из-за которых интерфейсы управления метками уязвимостей для пользователей с ролями «Аналитик» и «Только для чтения» не соответствовали правам.
  • Исправлена ошибка, из-за которой сканирования при быстром создании могли иметь неправильный тип.

Серверная часть

Добавлено

  • Добавлено хранилище настроек пользователя.
  • Добавлена поддержка конфигурации механизма обновления аутентификационных данных с помощью HTTP-запроса.
  • Для поддерживающих фильтрацию списков сущностей добавлены фильтры IN и NOT IN.

Изменения

  • Улучшена стабильность Swagger UI.
  • Повышена производительность за счёт улучшений сервиса синхронизации сканирований.
  • Теперь сканирования с невалидным URL-адресом, созданные с помощью fuchsiactl, отображаются в тенанте по умолчанию с пометкой о невалидности.

Исправления

  • Исправлен подсчёт значений для запроса GET /api/targets/severity-chart.
  • Исправлена ошибка, при которой запрос GET /api/targets/severity-trend мог возвращать нулевое значение для дат, когда сканирования не совершались.
  • Исправлена ошибка, из-за которой уязвимости с пометкой «Не уязвимость» при повторном сканировании цели могли менять статус.

Сканер fuchsiad

Добавлено

  • Добавлена поддержка протокола проверки работоспособности gRPC.

Изменения

  • Для получения корневой страницы модулями удалена фильтрация по заголовку-сущности Content-Type.
  • Обновлена версия входящего в состав дистрибутива браузера для поддержки нового безголового режима.
  • Постановка сканирования на паузу теперь осуществляется быстрее, при этом промежуточные результаты работы модулей не сохраняются.

Исправления

  • Исправлена утечка памяти, которая возникала при создании сканирования с использованием детектора аномалий.

🕸 Модуль динамического веб-краулинга

Исправления

  • Исправлена ошибка, из-за которой выводилось неверное количество собранных модулем HAR-файлов.
  • Исправлен механизм отслеживания обработанных URL-адресов.

Модуль анализа клиентского JavaScript-кода

Исправления

  • Добавлено ограничение, отсутствие которого в редких случаях могло приводить к аварийному завершению работы анализатора.

Модули сканирования

Изменения

  • Модуль активного сигнатурного анализа Nuclei теперь всегда запускается на URL-адресе сканируемой цели.
  • Для сканера SSTI теперь используется обобщённый API для поиска основанных на времени проверок недостатков.

Дистрибутив для Docker Compose

Добавлено

  • Добавлены переменные окружения BACKEND_LISTEN_PORT, BACKEND_ADDR и FUCHSIAD_SOCKET_ADDR для более удобной конфигурации. Подробнее в разделе.

Изменения

  • Конфигурационные файлы веб-сервера nginx теперь хранятся во временной директории /tmp.

v25.12.1 — 07.07.2025

Генератор PDF-отчётов

  • Исправлена вёрстка PDF-отчётов для входящего в состав дистрибутива браузера.

v25.12 — 01.07.2025

Панель управления

Добавлено

  • В детализации сканирования теперь отражается информация о том, какое программное обеспечение было обнаружено при сканировании цели.
  • Добавлена возможность проставлять метки уязвимостям, обнаруженным при сканировании.

Серверная часть

Добавлено

  • Добавлена возможность задавать конфигурацию и фильтры для модуля интеграции с SolidWall WAF.
  • Добавлен запрос /api/targets/severity-chart для получения данных об уникальных уязвимостях за определённый период как для всех целей, так и для отдельной.

Изменения

  • Браузер по умолчанию для генератора отчётов теперь располагается в каталоге /usr/bin/fuchsia-chrome.
  • Все поля, содержащие время, приведены к стандарту UTC.
  • Для списка ограничений URL-адресов добавлена возможность отключения, а также валидация каждого значения в списке.
  • Для групп целей и сканирований добавлено поле описания.

Исправления

  • Исправлена ошибка, при которой цель в редких случаях могла определяться неправильно при запуске сканирований через fuchsiactl или сторонний экземпляр серверной части.
  • При обновлении пакета для серверной части больше не сбрасываются настроенные в конфигурации адрес базы данных и адрес генератора отчётов.

Сканер fuchsiad

Добавлено

  • Для детектора аномалий добавлена возможность анализировать статус-коды и настраивать параметр RPS.

Изменения

  • Для детектора аномалий переработана структура файла конфигурации.

Модуль анализа клиентского JavaScript-кода

Исправления

  • Добавлено ограничение, отсутствие которого в редких случаях могло приводить к зависанию или аварийному завершению работы анализатора.

Модули сканирования

Изменения

  • Для модуля поиска уязвимостей типа Stored XSS изменён приоритет, и он теперь запускается позже.
  • Для модуля поиска уязвимостей типа Stored XSS включена дедупликация страниц.
  • Для сканера десериализации недоверенных данных в PHP теперь используется обобщённый API для поиска основанных на времени проверок недостатков.
  • Для сканера SSTI оптимизировано число запросов.

Дистрибутив для Debian

Добавлено

  • Добавлена поддержка Debian версии 12 («bookworm»).

v25.11.1 — 23.06.2025

Панель управления

Исправления

  • Исправлена ошибка, из-за которой в модальном окне быстрого создания сканирования не отображался список целей.

v25.11 — 17.06.2025

Панель управления

Исправления

  • Исправлена ошибка, из-за которой на мобильных устройствах не была видна нижняя часть главного меню.
  • Исправлена ошибка, из-за которой в мастере создания и модальном окне быстрого создания сканирования при поиске по списку целей не учитывались совпадения, если адрес цели закодирован.

Серверная часть

Изменения

  • Улучшена фильтрация данных динамики уязвимости.

Исправления

  • Исправлена ошибка, при которой сканирования и цели могли зависнуть в состоянии удаления из-за повторного подключения сканера.

🕸 Модуль динамического веб-краулинга

Исправления

  • Исправлена ошибка, из-за которой модуль в редких случаях аварийно завершал работу в результате тайм-аута, не дожидаясь завершения внутренних процессов.

Модуль анализа клиентского JavaScript-кода

Изменения

  • Улучшено время работы анализатора на сайтах, использующих Google reCAPTCHA.

Исправления

  • Исправлена ошибка «RangeError: Invalid array length», приводившая в редких случаях к аварийному завершению работы анализатора.
  • Исправлена ошибка при работе анализатора с кодом, обработанным упаковщиком модулей, приводившая в редких случаях к аварийному завершению работы.

Модули сканирования

Добавлено

  • Для модуля пассивного сигнатурного анализа Powby2 добавлены пометки о категориях выявляемых технологий: операционная система, веб-сервер, система управления содержимым и другие.

Дистрибутив для Docker Compose

Добавлено

  • Добавлены новые переменные окружения. Подробную информацию о них можно найти в разделе.

Изменения

  • В качестве базового образа панели управления теперь используется образ nginxinc/nginx-unprivileged:stable-bullseye.

v25.10.1 — 18.06.2025

Серверная часть

Исправления

  • Исправлена ошибка запроса, которая возникала при отсутствии данных о динамике уязвимости.

v25.10 — 03.06.2025

Важно

Начиная с версии v25.10 необходимо использовать PostgreSQL 16 с подключенным расширением TimescaleDB. Более ранние версии или версии без расширения TimescaleDB больше не поддерживаются. Рекомендуется выполнить инструкции:

  • по обновлению PostgreSQL для Docker Compose;
  • по обновлению PostgreSQL для GNU/Linux;
  • по установке расширения TimescaleDB.

Панель управления

Изменения

  • Детализация конечных точек перенесена из модального окна в боковую панель.

Исправления

  • Метки времени для данных динамики уязвимости более не зависят от серверного времени.

Серверная часть

Добавлено

  • Добавлена поддержка статусов уязвимостей: actual, falsePositive, confirmed, fixed, regression.
  • Статус falsePositive влияет на отображение уязвимостей в графике «Динамика уязвимости».
  • Добавлена поддержка расширения TimescaleDB. Начиная с версии v25.10, его наличие в базе данных обязательно.
  • Добавлена поддержка запроса динамики уязвимости для отдельной цели.
  • Добавлена поддержка работы с временными окнами для точек графика «Динамика уязвимости». При запросе данных через HTTP API теперь можно указать параметры resolution и timezone.
  • Добавлена поддержка дополнительных параметров для журнала аудита, включая IP-адрес пользователя, совершившего действие.

Изменения

  • Начиная с версии v25.10 поддерживается только PostgreSQL версии 16 с расширением TimescaleDB. Более ранние версии более не поддерживаются.
  • Снижено потребление ресурсов при неудачной попытке повторной синхронизации сканирований.
  • Убрана настройка keepalive для gRPC-соединения между серверной частью и сканером для уменьшения нагрузки на соединение.
  • Серверная часть теперь по умолчанию принимает сообщения от сканера размером до 50 МиБ. При необходимости это значение можно изменить через переменную окружения SCANNER_MAX_CALL_RECV_MSG_SIZE_MB.
  • Теперь при построении графика «Динамика уязвимости» учитывается актуальный статус и уникальность уязвимостей целей на определённый период: таким образом график показывает изменение состояния защищённости целей организации.

Исправления

  • Исправлена ошибка, которая могла приводить к аварийной остановке серверной части при потере соединения с базой данных.
  • Исправлена ошибка, которая в редких случаях могла приводить к зависанию сканирования в активном состоянии вследствие его удаления.

Сканер fuchsiad

Изменения

  • Команда fuchsiactl scan_stats теперь отображает фактическое время работы модулей, не включающее паузу.

🕸 Модуль динамического веб-краулинга

Исправления

  • Исправлена ошибка, при которой краулер продолжал работать по достижении тайм-аута выполнения.

Дистрибутив для Docker Compose

Изменения

  • В качестве образов баз данных для cканера fuchsiad и серверной части теперь используется timescale/timescaledb:latest-pg16.

v25.9 — 20.05.2025

Панель управления

Добавлено

  • Для сканирований добавлен статус «С замечаниями», означающий, что в целом сканирование завершено успешно, но в нём отработали не все модули.

Исправления

  • Исправлена ошибка, которая могла приводить к циклической перезагрузке страницы.

Серверная часть

Добавлено

  • Добавлена поддержка переменной окружения DATABASE_URI_FILE, которая позволяет считывать строку подключения к базе данных из файла.
  • Добавлена поддержка переменной окружения LOG_FILE, которая задаёт файл для журналирования серверной части в формате JSON.
  • Добавлена поддержка нового статуса сканирования DONE_WITH_WARNINGS.
  • Добавлена поддержка просмотра журналов модулей сканирования.
  • Добавлена поддержка установки адреса генератора отчёта через debconf.

Исправления

  • Исправлена ошибка, возникшая в версии v25.7, из-за которой HTTP-запрос /api/scans/{id} не возвращал идентификаторы конечных точек.

Сканер fuchsiad

Добавлено

  • Добавлена возможность передавать fuchsiad пути до нескольких конфигурационных файлов. В случае наличия пересекающихся полей, приоритет будет отдан значениям, находящимся в последнем переданном файле.
  • Добавлена поддержка включения детектора аномалий трафика через fuchsiactl.
  • Добавлен новый статус сканирования DONE_WITH_WARNINGS.
  • В стандартную поставку модулей добавлен модуль поиска уязвимостей типа Stored XSS.

Модуль анализа клиентского JavaScript-кода

Добавлено

  • Повышено покрытие анализатора за счёт добавления поддержки встроенной функции Object.defineProperty.

Изменения

  • Повышено покрытие анализатора за счёт улучшенного обнаружения библиотеки axios.

Модули сканирования

Добавлено

  • Для модуля пассивного сигнатурного анализа Powby2 добавлена поддержка взаимосвязей между сигнатурами: зависимостей одной сигнатуры от другой, взаимного исключения, а также автоматического выявления одной сигнатуры на основе выявления другой.

Изменения

  • Теперь для сканера SSTI, если возникла ошибка при выполнении запроса для подсчета базового времени ответа, работа модуля завершается с нулевым кодом.

v25.8 — 06.05.2025

Панель управления

Изменения

  • Всплывающая подсказка для графика «Динамика уязвимости» теперь содержит больше деталей.

Исправления

  • Исправлена ошибка, из-за которой неверно отображался размер PDF-отчёта, если его генерация завершилась неудачно.

Серверная часть

Добавлено

  • Добавлена поддержка проверки активности генератора отчётов.

Изменения

  • Изменен неявный способ создания первого сканера через переменную окружения FUCHSIAD. Теперь сканер по умолчанию можно создать с помощью вызова HTTP API или через SolidPoint CLI.
  • Улучшена работа сервиса синхронизации сканирований, повышена отзывчивость серверной части на изменение состояния выполняемого сканирования.
  • Улучшена производительность благодаря уменьшению количества запросов к сканеру во время синхронизации сканирований.

Исправления

  • Исправлена проверка уникальности значений аутентификационных данных. Проверка уникальности «hostname + path» имеется только для базовой HTTP-аутентификации.

Генератор PDF-отчётов

Добавлено

  • Добавлена поддержка отображения декодированного URL-адреса в PDF-отчётах.

Изменения

  • Для работы генератора PDF-отчётов теперь по умолчанию используется входящий в состав дистрибутива браузер.

Сканер fuchsiad

Изменения

  • Теперь аварийное завершение работы модулей обнаружения контролируемых сериализованных данных и сигнатур Powby2 не прерывает сканирование.

Модуль анализа клиентского JavaScript-кода

Изменения

  • Улучшено покрытие анализатора за счёт добавления поддержки библиотеки ky и возможности вызова переименованного объекта axios как функции.

Модуль выявления конечных точек GraphQL

Изменения

  • Пересмотрен уровень критичности событий при журналировании.

Модули сканирования

Добавлено

  • Для модуля пассивного сигнатурного анализа Powby2 добавлена поддержка сигнатур Wappalyzer типа «meta».

Дистрибутив для Debian

Изменения

  • Сканер по умолчанию теперь создаётся через SolidPoint CLI.

Дистрибутив для Docker Compose

Изменения

  • Теперь при запуске системы проверяется наличие сканера. Если сканер ещё не заведён, то он создается через вызов HTTP API с адресом, указанным в переменной FUCHSIAD_ADDR в файле конфигурации docker-compose.yml.
  • Сервисы SolidPoint Compose теперь запускаются не суперпользователем (root).

v25.7 — 22.04.2025

Серверная часть

Добавлено

  • Для фильтрации по URL-адресам добавлена поддержка специальных символов.
  • Добавлены параметр decodedUrl для публичных моделей цели и сканирования и параметры decodedHostname и decodedPath для аутентификационных данных цели и сканирования. Данные параметры отображают декодированную версию URL-адреса (или его частей), если он закодирован (Punycode, URL-encoded формат и т.д.).
  • Добавлен параметр isValidUrl для публичных моделей цели и сканирования, который определяет, является ли URL-адрес валидным.

Исправления

  • Исправлена ошибка, из-за которой для ещё не запущенных и поставленных на паузу сканирований отображался статус «PENDING».
  • Исправлено поведение, запрещавшее редактирование цели при невалидном URL-адресе. Теперь для таких целей можно изменять описание и параметры, не связанные с URL-адресом.
  • Исправлена валидация якоря «#» для URL-адресов. Теперь путь (минимальный: «/») обязателен при добавлении якоря, само значение якоря может быть пустым.

Генератор PDF-отчётов

Добавлено

  • В PDF-отчёте теперь отражается информация об использовании аутентификации через локальное хранилище.

Исправления

  • Исправлена ошибка, из-за которой в PDF-отчёт попадала информация об имевшихся у цели способах аутентификации, отключенных на момент сканирования.

🕸 Модуль динамического веб-краулинга

Исправления

  • Исправлена ошибка, приводившая в некоторых случаях к перемешиванию вывода разных точек входа.

Модули сканирования

Добавлено

  • Для модуля пассивного сигнатурного анализа Powby2 добавлена поддержка сигнатур Wappalyzer типа «dom».

Дистрибутив для Docker Compose

Изменения

v25.6.1 — 11.04.2025

Панель управления

Исправления

  • Каскадное исправление ошибки, устранённой в версии v25.4.1.

v25.6 — 08.04.2025

Панель управления

Изменения

  • При запуске сканирования из списка целей теперь по умолчанию запускается полное сканирование с использованием дирбастера.
  • При попытке запустить сканирование цели с некорректным форматом адреса теперь отображаются всплывающие уведомления.

Исправления

  • Исправлена ошибка, из-за которой при повторении сканирования не учитывался параметр использования дирбастера.
  • Исправлено поведение, из-за которого статус сканирования ошибочно мог отображаться как «Приостановка».
  • Исправлена ошибка, из-за которой пользователи с ролями «Аналитик» и «Только для чтения» не могли управлять токенами доступа.

Серверная часть

Добавлено

  • Добавлен единый механизм отслеживания фоновых действий для сканирований и целей.

Исправления

  • Исправлено поведение, из-за которого механизм отслеживания действий со сканированием ошибочно мог сохранять его фоновый статус как «Pausing».

Генератор PDF-отчётов

Добавлено

  • В PDF-отчёты добавлена информация об общем числе запросов и среднем времени ответа цели на запрос.

Сканер fuchsiad

Добавлено

  • В консольный клиент fuchsiactl добавлена команда вывода версии fuchsiactl --version.
  • В консольный клиент fuchsiactl добавлена возможность посмотреть количество статус-кодов во время сканирования в зависимости от времени c шагом в минуту. Для этого можно использовать команду fuchsiactl scan_stats.

Изменения

  • Исполняемый файл консольного клиента fuchsiactl теперь содержит его версию.

Исправления

  • Исправлена ошибка, из-за которой настройки обновления аутентификационных данных могли ошибочно попадать в последующие сканирования.
  • Исправлена ошибка, которая не позволяла удалять сканирования, осуществлённые с использованием механизма обновления аутентификационных данных.

🕸 Модуль динамического веб-краулинга

Исправления

  • Исправлено возможное зависание модуля при аварийном завершении процесса анализа.

Модуль анализа клиентского JavaScript-кода

Изменения

  • Повышена точность работы анализатора благодаря более корректной обработке оператора «,».

Модули сканирования

Добавлено

  • Для модуля пассивного сигнатурного анализа Powby2 добавлена возможность помечать специальным образом срабатывания сигнатур, несущие информацию о сторонних серверах, но ресурсы с которых используются на страницах анализируемого приложения.
  • Для модуля динамического анализа страницы добавлена обработка стоков DOM XSS библиотеки jQuery.

v25.5.1 — 11.04.2025

Панель управления

Исправления

  • Каскадное исправление ошибки, устранённой в версии v25.4.1.

v25.5 — 25.03.2025

Панель управления

Добавлено

  • В модальное окно быстрого создания сканирования добавлен переход к мастеру создания сканирования.

Изменения

  • В мастере создания сканирования модули при выборочном типе сканирования теперь отсортированы по алфавиту.
  • При создании сканирований теперь отображаются всплывающие уведомления об этом.
  • К имеющимся модальным окнам и мастерам создания и редактирования сущностей: сканирования, цели и токена — добавлена маршрутизация. Теперь все всплывающие окна имеют URL-адрес, через который к ним можно обратиться.
  • На странице детализации сканирования из карточки информации о сканировании убран счётчик отработавших модулей.

Исправления

  • Исправлена ошибка, приводившая к невозможности удаления отчёта о сканировании, генерация которого завершилась неудачно.
  • Исправлена ошибка, из-за которой при некоторых условиях обрезалась дата создания сканирования в общем списке.

Серверная часть

Добавлено

  • Добавлена поддержка модуля выявления конечных точек GraphQL.
  • Для пользователей с ролями «аналитик» и «только для чтения» добавлена возможность редактирования профиля.

Изменения

  • Уменьшена нагрузка на сканер fuchsiad при взаимодействии с новыми сканированиями.

Исправления

  • Исправлена ошибка, при которой запуск сканирования c некорректным URL-адресом приводил к возврату некорректного кода состояния HTTP.

Генератор PDF-отчётов

Добавлено

  • В PDF-отчёты добавлена информация о типе сканирования, использовании дирбастера, ID сканирования и ID сканируемой цели.

Исправления

  • Для пользователей с ролью «аналитик» добавлено разрешение на запуск генерации отчётов.

Сканер fuchsiad

Добавлено

  • В стандартную поставку модулей добавлен модуль выявления конечных точек GraphQL.

Исправления

  • Исправлена ошибка «string field contains invalid UTF-8», возникающая при получении файлов журнала.

Модуль интеграции с SolidWall WAF

Добавлено

  • Добавлена возможность передать модулю конфигурационный файл для подключения к SolidWall WAF при помощи fuchsiactl. Если конфигурационный файл не был передан таким образом, модуль возьмет его по стандартному пути.

Изменения

  • Модуль теперь принимает строку для подключения к базе данных из конфигурационного файла fuchsiad, а не собственного конфигурационного файла.
  • Модуль теперь принимает маскировочные фильтры из отдельного конфигурационного файла, который может быть передан при помощи fuchsiactl. В случае отсутствия такового, модуль возьмет конфигурационный файл по стандартному пути.

🕸 Модуль динамического веб-краулинга

Изменения

  • Уменьшено время, необходимое для удаления сканирований.

Исправления

  • Исправлена ошибка, при которой во время анализа могли быть упущены элементы с долгой загрузкой.

Модули сканирования

Изменения

  • Для обоих модулей обнаружения Reflected XSS обновлён формат селекторов.
  • Для сканера SSTI уменьшена чувствительность для основанных на времени проверок с целью снижения количества ложноположительных срабатываний.

Исправления

  • Исправлена регрессия, возникшая в версии v25.4 для модуля reflected-xss-cspp. Теперь запуск модуля снова осуществляется по тегам модуля сканирования CSPP.
  • Исправлена ошибка модуля активного сигнатурного анализа Nuclei, при которой временные файлы не удалялись после завершения работы модуля и в случае прерывания его работы.

v25.4.1 — 11.04.2025

Панель управления

Исправления

  • Исправлена ошибка, из-за которой могло не работать переключение между вкладками детализации уязвимости для ролей, отличных от суперадминистратора.

v25.4 — 11.03.2025

Панель управления

Добавлено

  • Добавлены всплывающие уведомления, отображающиеся при приостановке или возобновлении сканирования.

Изменения

  • На страницу детализации сканирования добавлена информация о том, был ли использован дирбастер.
  • На страницу детализации сканирования добавлены ID сканирования и цели.

Исправления

  • Исправлена ошибка, из-за которой при повторной генерации отчёта не отображалось всплывающее уведомление об этом.

Серверная часть

Добавлено

  • Добавлена поддержка сканера десериализации недоверенных данных в PHP.

Исправления

  • Исправлена ошибка, при которой запущенные через панель управления сканирования использовали дирбастер независимо от выбора пользователя.

Генератор PDF-отчётов

Изменения

  • В кратких PDF-отчётах больше не отображается информация о детализации уязвимостей.

Сканер fuchsiad

Добавлено

  • В стандартную поставку модулей добавлен сканер десериализации недоверенных данных в PHP.
  • В модуль пассивного сигнатурного анализа Powby2 добавлена поддержка агрегации срабатываний сигнатур в рамках одного ресурса.
  • Добавлена возможность непрерывной синхронизации локального хранилища между браузерным аутентификатором и модулями сканирования, основанными на браузере.

Изменения

  • Для сканера SSTI при выявлении перенаправления число одновременных потоков для сканирования соответствующего HTTP-запроса понижается до единицы для reflected-техник.

Исправления

  • Исправлена ошибка, приводившая к вычислению отрицательного времени ответа при указании блокируемых адресов.

🕷 Модуль статического веб-краулинга

Добавлено

  • Добавлен адаптивный алгоритм изменения скорости отправки запросов в дирбастере, реагирующий на ошибки сервера.

Изменения

  • Актуализирован словарь дирбастера.
  • Улучшен алгоритм определения страниц «не найдено» в дирбастере.

🕸 Модуль динамического веб-краулинга

Изменения

  • Расширены статические правила фильтрации точек входа.

Модуль анализа клиентского JavaScript-кода

Изменения

  • Повышена надёжность работы в части соответствия выдаваемых модулем данных корректному формату.

Исправления

  • Исправлена ошибка в компоненте распаковки кода, собранного с помощью упаковщика модулей. Ошибка приводила к аварийному завершению при работе с некоторыми видами упаковщиков.

Модули сканирования

Добавлено

  • Для модуля пассивного сигнатурного анализа Powby2 добавлена поддержка сигнатур Wappalyzer для распознавания используемого стека технологий сканируемого приложения. Поддерживаемые типы сигнатур: «headers», «cookies», «url», «html», «scripts», «scriptSrc».

v25.3 — 25.02.2025

Панель управления

Добавлено

  • Добавлена валидация поля «Путь» в аутентификационных данных цели.
  • Для суперадминистратора добавлена возможность генерировать отчёты для сканирований не из своей организации.
  • На страницу детализации сканирования добавлена информация об общем числе запросов и среднем времени ответа цели на запрос.
  • В модальное окно генерации отчёта о сканировании добавлен выбор типа отчёта. Теперь можно генерировать краткие отчёты, не содержащие большие блоки кода.
  • Для панели управления добавлена светлая тема. По умолчанию применяется тёмная тема, изменить предпочтения можно в настройках.

Изменения

  • Улучшено поведение интерфейсов при валидации адреса цели в мастере создания и редактирования цели и в мастере создания сканирования.
  • Улучшено поведение интерфейсов при заполнении данных аутентификации в мастере создания и редактирования цели.
  • В мастере создания и редактирования цели на шаге предпросмотра теперь выводятся все данные аутентификации, даже если аутентификация отключена.
  • В списке целей и мастере создания и редактирования цели добавлена визуальная информация о том, добавлен или нет определённый тип аутентификации, а также применяется ли он к цели в данный момент.
  • На странице детализации сканирования также теперь указано явно, какой тип аутентификации был включен, а какой заполнен, но выключен на момент сканирования.
  • Опция генерации отчёта теперь доступна для всех ролей пользователей, кроме роли «Только для чтения».

Исправления

  • Теперь при вводе адреса электронной почты на страницах аутентификации и регистрации пользователя корректно обрабатываются ошибки при вводе нескольких недопустимых символов подряд.

Серверная часть

Добавлено

  • Добавлена поддержка статистики HTTP-запросов для модулей сканирования.

Изменения

  • Обновлена валидация URL-адресов, теперь они должны соответствовать RFC 1035, RFC 3696 и RFC 3492 для IDN.
  • Обновлена валидация имени хоста для аутентификационных данных цели.
  • Обновлена обработка уникальности адресов целей, теперь они не являются регистрозависимыми.
  • Закодированные и декодированные формы URL-адресов больше не считаются различными.
  • Запрос POST /api/targets/wizard/exist больше не зависит от регистра вводимых данных.

Интерфейс командной строки SolidPoint CLI

Добавлено

  • Для команды scan new-ci при вызове справки -h/--help теперь доступен пример использования с флагом -s/--severity.
  • Добавлена поддержка работы со сканерами.

Исправления

  • Для команды scan new-ci при вызове справки -h/--help исправлено описание: уровень критичности unknown для флага -s/--severity больше не указан как доступная для выбора опция.

Сканер fuchsiad

Добавлено

  • Большинство модулей сканирования теперь сообщают о ходе выполнения работы. Посмотреть прогресс в реальном времени можно с помощью команды fuchsiactl list_scans. Пример результата отработки команды: «RUNNING (30/47 done) path-traversal-scanner».

Исправления

  • Исправлена ошибка «invalid character '(' looking for beginning of value» при получении статистики некоторых сканирований.
  • Исправлена ошибка, возникающая при удалении приостановленного сканирования.

Модули сканирования

Изменения

  • Для сканера SQL-инъекций теперь используется новый формат селекторов.

Модуль анализа клиентского JavaScript-кода

Исправления

  • Исправлена ошибка, приводившая к аварийному завершению работы модуля при обработке кода, создававшего вложенные рекурсивно массивы.

v25.2 — 11.02.2025

Панель управления

Добавлено

  • В мастере создания сканирования добавлена поддержка сканирования с использованием дирбастинга.
  • В мастере создания и редактирования цели добавлена возможность задавать аутентификацию через локальное хранилище (local storage) браузера.

Изменения

  • Улучшена визуализация загрузки списка уязвимостей, найденных при сканировании.

Модули сканирования

Изменения

  • Для сканера XXE-инъекций обновлён формат селекторов.

🕸 Модуль динамического веб-краулинга

Исправления

  • Исправлена регрессия, возникшая в релизе 25.1, следствием которой стало ограничение общего времени работы модуля в 5 минут.

v25.1 — 28.01.2025

Панель управления

Добавлено

  • В список отчётов о сканировании добавлена колонка с размерами файлов.
  • Для графика «Динамика уязвимостей» на главной странице добавлена возможность отключать линии с уровнями критичности.
  • Добавлены операции приостановки и возобновления сканирований из интерфейсов.
  • Добавлена возможность генерировать PDF-отчёты на русском и китайском языках.
  • Добавлена возможность генерировать несколько PDF-отчётов одновременно.

Изменения

  • Описания типов сканирований в мастере создания нового сканирования теперь размещаются в выпадающем списке выбора типа.
  • В модальном окне быстрого создания сканирования теперь доступно описание типов сканирования в выпадающем списке выбора типа.
  • Описание типов аутентификации в мастере создания и редактирования цели перенесено из аккордеона в выпадающий список добавления новой аутентификации.

Исправления

  • Теперь для сканирований, стоящих в очереди на удаление, не отображается меню операций.
  • Исправлена локализация чисел в графиках и диаграммах.
  • Исправлена ошибка, из-за которой при переключении языка интерфейса некоторые тексты дублировались на нескольких языках.

Серверная часть

Добавлено

  • Добавлена поддержка настройки механизма проверки аутентификации.

Изменения

  • Теперь запрос POST /api/targets/wizard/exist не чувствителен к регистру вводимых данных.

Интерфейс командной строки SolidPoint CLI

Добавлено

  • Добавлен флаг --severity для команды scan new-ci, который позволяет сканированию завершиться с ошибкой при выявлении уязвимости с указанным уровнем критичности или выше.

Генератор PDF-отчётов

Добавлено

  • Для PDF-отчётов добавлена нумерация страниц.
  • В PDF-отчёты добавлено оглавление для приложений просмотра PDF-файлов, упрощающее навигацию по документу.

Исправления

  • Исправлена ошибка вёрстки PDF-отчётов, из-за которой некоторые заголовки таблиц накладывались на содержимое.
  • Для PDF-отчётов исправлено отображение статусов для модулей.

Сканер fuchsiad

Добавлено

  • Добавлена поддержка аутентификации с помощью браузерного сценария. Сценарий необходимо записывать с помощью Chrome Recorder, экспортировать в виде файла в формате JSON и указывать его при конфигурации сканирования. Полученные после выполнения сценария cookie и пары ключ-значение из локального хранилища можно использовать для обновления аутентификационных данных сканирования, cookie или других заголовков.
  • В gRPC API добавлены методы для получения статистики сканирования: общего количества запросов и среднего времени ответа.

🕷 Модуль статического веб-краулинга

Исправления

  • Исправлена некорректная работа модуля в случае, когда порт по умолчанию явно прописан в URL-адресе (например, https://example.com:443/).

Модули сканирования

Добавлено

  • Модуль обнаружения контролируемых сериализованных данных теперь анализирует не только тела ресурсов и cookie, но и параметры найденных точек входа.

Изменения

  • Версия ядра Nuclei обновлена до 3.3.8 для устранения CVE-2024-43405.
  • Публичные шаблоны Nuclei обновлены до актуальной версии.

Исправления

  • Для сканера SQL-инъекций исправлена ошибка, при которой поле «Описание» не заполнялось в отчёте.

Изменения за предыдущий год