Novidades no Syhunt 6.6


3 de junho, 2019

Syhunt adiciona suporte de SAST para Angular, AngularJS, serviços web, e mais

Estamos felizes em anunciar que a versão 6.6 do Syhunt, lançada hoje, adiciona suporte de SAST para serviços web, e estende o suporte ao MEAN através da adição do suporte para aplicações web desenvolvidas com o Angular (v2 ou superior) e AngularJS, TypeScript, e um grande número de verificações adicionais que cobrem o Node.js, Express.js, jQuery, JavaScript no lado do cliente e Java. O Syhunt 6.6 também adiciona suporte de SAST para repositórios Azure e aplicações baseadas no Electron, uma opção de login manual ao realizar DAST, e otimizações que aceleram os scans tanto para DAST quanto SAST. A cobertura estendida significa que o Syhunt agora é capaz de analisar não somente o código-fonte de aplicações web, mas também o código-fonte de serviços web e aplicações desktop baseadas em JS.

Verificações de Código para Angular & AngularJS

O Syhunt 6.6 adiciona verificações de segurança de código voltadas para aplicações web desenvolvidas com Angular, com cobertura para os seguintes tipos de vulnerabilidade:

  • Cross-Site Scripting (XSS) - cobertura para JavaScript e TypeScript
  • Falsificação de Solicitação entre Sites (XSRF)
  • Autenticação Quebrada
  • Uso de Armazenamento Local
  • Dados Confidenciais no Armazenamento Local
  • Informação Sensível do Lado do Cliente
  • Scripts Vulneráveis ​​Desatualizados

Verificações de Código para JavaScript do Lado do Cliente

  • XSS Baseado em DOM (Cross-Site Scripting Baseado em DOM)
  • Uso de Armazenamento Local
  • Dados Confidenciais no Armazenamento Local
  • Scripts Vulneráveis, incluindo jQuery Core, jQuery Migrate, jQuery UI, fullPage, Bootstrap e momentjs - isto inclui análise de arquivos de JavaScript externos (online).
  • Injeção de Código
  • Redirecionamento Não Validado
  • Injeção de XML
  • Falsificação de Solicitação do Lado do Cliente
  • Vazamento de Informações (vários)
  • Configuração Incorreta da Segurança (vários)

Verificações de Código para Node.js

  • Cross-Site Scripting (XSS)
  • Negação de Serviço (DoS) (nova)
  • Inclusão de Arquivos (nova)
  • Injeção de XPath (nova)
  • Injeção de XML (nova)
  • Falsificação de Solicitação do Lado do Servidor (SSRF) (nova)
  • Vazamento de Informações (nova)
  • Configuração Incorreta da Segurança (nova)
  • Injeção de SQL (melhorada)
  • Injeção de Código (melhorada)
  • Redirecionamento Não Validado (melhorada)
  • Manipulação de Arquivos (melhorada)
  • Execução de Comando (melhorada)
  • Injeção de Cabeçalho HTTP (melhorada)
  • Forjamento de Log
  • Análise de filtragem de entrada / validação (melhorada)

Verificações Adicionais de Código

O Syhunt 6.6 também adiciona verificações para:

  • Criptografia Quebrada (nova) - uso de Algoritmos de Hashing Inseguro, Algoritmos Criptográficos Inseguros, Protocolos Fracos e Aleatoriedade Insegura.
  • Salting Inseguro (nova) - com cobertura para todas as linguagens.
  • Informações Confidenciais Codificadas (nova), e logging de informações confidenciais
  • Hashing de Senha Fraca (reescrita e melhorada)
  • Backdoor (melhorada)
  • Injeção de SQL, Injeção de XML e Vazamento de Informações (melhoradas para Java)

Suporte de Login Manual

O Syhun 6.6 adiciona a capacidade de iniciar um scan contra um website depois de se logar manualmente - quando você inicia um scan dinâmico através do navegador Sandcat os dados de sessão da aba são usados como parte do scan. O uso do recurso é explicado na seção de login manual do Guia de Introdução do Syhunt Dynamic.

Suporte Estendido ao GIT

  • Adicionada a capacidade de realizar o scan de repositórios GIT através da interface de usuário, e de criar e gerenciar uma lista de repositórios alvos favoritos.
  • Adicionado suporte a repositórios Azure que utilizam GIT.

Melhorias no Dynamic e Outros Componentes

  • Melhorado o suporte ao protocolo HTTP/HTTPS e ao SSL (corrigido: o erro "connection reset by peer" ao tentar analisar alguns websites).
  • Adicionada a opção para seguir automaticamente redirecionamentos fora do domínio no URL de início (habilitada por padrão na GUI e CLI)
  • Perguntar sobre redirecionamento fora de domínio em URL ao definir um alvo dinâmico.
  • Adicionadas novas otimizações específicas para o Joomla.
  • Melhorado o suporte a popups no Sandcat Browser.
  • Corrigido: a incapacidade de fixar corretamente a aplicação na barra de tarefas do Windows.
  • Corrigidos: muitos outros bugs e falsos positivos (como detalhado no CHANGELOG)

Observação: As verificações acima na cor cinza estão disponíveis apenas nas versões profissionais do Syhunt.

Esperamos que você goste da nova versão!

Fale Conosco

Contato