Syhunt | Syhunt Hybrid: Web UI

Syhunt Hybrid: Web UI

As informa��es contidas neste documento se aplicam a vers�o 7.0.12 do Syhunt Hybrid.

�ndice

Introdu��o

Ativando a interface Web UI

Configurando fun��es de usu�rio

Expondo a Web UI com seguran�a

Habilitando o Display em Linux Headless

Limita��es

Compatibilidade com diferentes sistemas operacionais

Introdu��o

A partir da vers�o 7.0.11, o Syhunt Hybrid vem com uma interface de usu�rio web e uma API REST que pode ser habilitada em m�quinas Windows ou Linux. Embora ainda em evolu��o, a web UI permite iniciar varreduras DAST, SAST e MAST, visualizar resultados de varreduras (incluindo aquelas iniciadas por meio da GUI, CLI, API REST e agendador, se houver), gerar relat�rios e exporta��es, gerenciar usu�rios, permiss�es de usu�rio e sess�es ativas, execute comandos do console e muito mais. A interface web e os relat�rios est�o atualmente dispon�veis em 8 idiomas � ingl�s, alem�o, espanhol, franc�s, italiano, japon�s, coreano e portugu�s.

A interface web Syhunt Hybrid foi constru�da sobre um servidor web robusto - Openresty (Nginx + Lua), usa Bcrypt com um alto fator para hashing de senha, gera��o segura de ID de sess�o e implementa prote��o de login contra for�a bruta.

Ativando a interface Web UI

Se voc� estiver em um servidor Linux headless, como Ubuntu Server ou CentOS Minimal, ative um display e fa�a com que ele inicie automaticamente na inicializa��o.
Abra o prompt de comando ou terminal e v� para o local da CLI do Syhunt - a localiza��o padr�o depende do seu sistema operacional.
Configure as principais contas de usu�rio.
1. Execute o seguinte comando para definir a senha do administrador: scancore -pwdset:admin
2. (Opcional) Execute o seguinte comando para criar e definir a senha de outras contas: scancore -pwdset:nomedousuario
3. (Optional) Se voc� deseja que a UI da web use um idioma diferente, como por exemplo o Portugu�s, execute o comando: scancore -langset:PT Veja os c�digos de idioma dispon�veis
Execute o servidor: scancore -apisignal:start
Agora voc� pode acessar a web UI e fazer login em: http://127.0.0.1:8017/syhunt/ e tamb�m usar a Syhunt REST API.

Etapas Adicionais

Em qualquer Linux, se voc� planeja executar SAST e MAST, certifique-se de que habilitou as extens�es Hybrid Plus.
Auto-run - No Windows, uma vez definida a senha do administrador, a web UI � iniciada sempre que o servi�o Hybrid Scheduler � iniciado. Isso garante que a web UI continue em execu��o mesmo que o usu�rio atual efetue logout. No Linux, use o servi�o cron para agendar a inicializa��o do servidor.

Configurando fun��es de usu�rio

Quando voc� est� logado como Administrador, voc� pode alterar a fun��o de qualquer usu�rio para Operador, Operador Restrito ou Visualizador. A seguir est�o as fun��es existentes:

Administrador - O administrador pode iniciar e visualizar os resultados de todas as verifica��es iniciadas, editar as permiss�es e prefer�ncias do usu�rio e executar comandos do console. Atualmente, apenas uma conta de administrador � permitida.
Operador - Um usu�rio com esta fun��o pode iniciar e visualizar os resultados de todas as varreduras iniciadas.
Operador Restrito - Um usu�rio com esta fun��o pode iniciar varreduras, mas apenas visualizar os resultados das varreduras iniciadas por ele mesmo.
Visualizador - Um usu�rio com esta fun��o pode visualizar os resultados de todas as varreduras iniciadas, mas n�o � capaz de iniciar nenhuma varredura.

Expondo a UI da Web com seguran�a

Como o servidor web UI do Syhunt vem pr�-configurado e � atualizado toda vez que o Syhunt � atualizado, n�o � aconselh�vel modificar suas configura��es. Se voc� precisar expor a UI da web � Internet ou intranet, recomendamos configurar um proxy Nginx reverso com SSL habilitado. Voc� precisar� gerar um certificado.crt e uma chave privada para ser usado com ele - as instru��es abaixo pressup�em que voc� j� tenha os certificados prontos.

No Windows:

Baixe o Nginx para Windows: http://nginx.org/en/download.html
Aplique as altera��es de configura��o do Nginx nginx.conf descritas abaixo.

No Linux:

Instale o Nginx:
1. No Ubuntu: sudo apt install nginx
2. No CentOS 7: sudo yum install nginx
3. No CentOS 8: sudo dnf install nginx
Edite o arquivo de configura��o do Nginx: sudo nano /etc/nginx/nginx.conf
1. Comente as linhas: include /etc/nginx/conf.d/*.conf; e include /etc/nginx/sites-enabled/*;
2. Dentro da se��o http inclua:

   server {
                listen 443 ssl;
		server_name syhuntwebui;

		ssl_certificate /path/to/ssl/certificate.crt;
		ssl_certificate_key /path/to/ssl/private.key;

		location / {
		proxy_pass http://127.0.0.1:8017;
		proxy_set_header Host $host;
		proxy_set_header X-Real-IP $remote_addr;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
		proxy_set_header X-Forwarded-Proto $scheme;
		}
	  }

Ap�s salvar as altera��es, teste a nova configura��o: nginx -t
Permitir tr�fego de localhost para a porta 8017 e permitir tr�fego de entrada na porta 443:
1. No Ubuntu:
  1. sudo ufw allow from 127.0.0.1 to any port 8017
  2. sudo ufw allow 443
2. No CentOS:
  1. sudo firewall-cmd --zone=public --add-port=443/tcp
  2. sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="127.0.0.1" port port=8017 protocol=tcp accept'
  3. sudo firewall-cmd --reload
Reinicie o servidor Nginx: systemctl restart nginx

Ativando o Display no Headless Linux

Se voc� estiver executando o Ubuntu Server, CentOS Minimal ou outra distribui��o Linux headless, antes de tentar iniciar uma varredura atrav�s da interface da web ou gerar um relat�rio em PDF, voc� precisar� instalar e iniciar o xvfb - caso contr�rio, o Syhunt ir� travar enquanto gera um relat�rio em PDF ou durante a execu��o de uma varredura.

Instale o xvfb:
1. Servidor Ubuntu: sudo apt-get install xvfb
2. CentOS 8/7: sudo yum install xorg-x11-server-Xvfb
3. RH8: https://stackoverflow.com/a/65311975
Inicia a exibi��o do xvfb em uma porta de exibi��o espec�fica - este exemplo usa a porta 99: Xvfb :99 &
Diga � sess�o do terminal para usar a porta de exibi��o: export DISPLAY=:99
Teste a gera��o do relat�rio PDF: ./scanurl sometarget.com -rout:areport.pdf

Finalmente, para ter esta tela sempre dispon�vel, voc� deve configur�-la para iniciar automaticamente na inicializa��o:

Crie um arquivo chamado /etc/systemd/system/Xvfb.service com o seguinte conte�do:

[Unit]
Description=X Virtual Frame Buffer Service
After=network.target

[Service]
ExecStart=/usr/bin/Xvfb :99 -ac -screen 0 1024x768x16

[Install]
WantedBy=multi-user.target

Em seguida, habilite e inicie o servi�o:
1. sudo systemctl ativar Xvfb
2. sudo systemctl iniciar Xvfb
Para finalizar, adicione a linha export DISPLAY=:99 em /etc/environment para tornar a vari�vel de ambiente DISPLAY persistente para todos os processos e usu�rios.

Limita��es

No Linux, as varreduras de c�digo iniciadas por meio da web UI s� podem ter como alvo reposit�rios GIT p�blicos. Se voc� precisar direcionar um reposit�rio privado, use o comando CLI scancode para iniciar a varredura ap�s configurar corretamente as credenciais do reposit�rio ou chaves SSH. Al�m disso, a conex�o direta com reposit�rios Azure TFS n�o est� dispon�vel para m�quinas Linux.
Embora a vers�o atual n�o inclua telas que permitem editar prefer�ncias globais do scanner ou prefer�ncias do site, se voc� estiver conectado como administrador, a tela do console permite visualizar e editar prefer�ncias usando o comando [[Docs.SyhuntIntegrationCLI#cli_prefs|scancore] ].
No Linux, a gera��o de relat�rios em PDF por meio da web UI n�o est� dispon�vel.

Compatibilidade com diferentes sistemas operacionais

Windows 10 e Windows 11,
Ubuntu (GUI) 23.10 e 22.04
CentOS 7 (incluindoheadless)
MacOS Monterey 12.7.2 (Intel)

(*) No Linux headless, se as varreduras iniciadas pela interface da web terminarem prematuramente no in�cio - nesta situa��o, o status das varreduras muda de Varredura para Cancelado, ent�o voc� precisa habilitar um display.