Novidades no Syhunt 7.0.13
27 de maio de 2024
Syhunt Dynamic 7.0.13 adiciona mapeador AJAX profundo e verifica aplicações de GenAI
A Syhunt tem o prazer de anunciar a disponibilidade imediata do Syhunt Dynamic versão 7.0.13. A nova versão do Syhunt Dynamic, parte do Syhunt Hybrid 7.0.13, expande os recursos DAST do produto para realizar mapeamento mais profundo de aplicações web que fazem uso pesado de AJAX, testar aplicações web que utilizam LLMs (modelos de linguagem) e suportar pré-renderização e armazenamento local - recurso suportado por navegadores modernos.
Ao longo de mais de uma década, o Syhunt Dynamic evoluiu constantemente para enfrentar o desafio de testar aplicações web modernas. Em 2009, o Syhunt Dynamic passou a ter a capacidade de analisar e executar chamadas JavaScript e AJAX/XHR por meio de seu mapeador e emulador de navegador desenvolvido internamente (codinome Scarlet). O Syhunt Dynamic alcançou 94% de cobertura de mapeamento durante o teste WIVET junto com outros líderes do setor, de acordo com um benchmark independente em 2014. Mais tarde, foi adicionado ao Syhunt Dynamic o recurso SAST-in-DAST, expandindo a capacidade do produto de compreender e analisar código JavaScript do lado do cliente e detectar vulnerabilidades. Isso incluiu aplicações web baseadas em Angular e AngularJS, para os quais a Syhunt adicionou suporte especializado.
Agora, com o Syhunt Dynamic 7.0.13, o Syhunt expande sua cobertura e vai além da pilha MEAN (MongoDB, Express.js, AngularJS e Node.js), abordando pilhas adicionais, como a pilha MERN, que troca Angular por React.js, altamente adotada. Através da integração do mapeador robusto da Syhunt com o Google Chrome, Selenium e Python, o Syhunt Dynamic agora é capaz de pré-renderizar, autenticar, mapear e testar melhor aplicações web que fazem uso pesado de AJAX para identificar vulnerabilidades do lado do cliente e do lado do servidor.
Além do mapeador aprimorado, o Syhunt Dynamic 7.0.13 adicionou novas verificações de injeção e se tornou a primeira ferramenta DAST do mercado a verificar vulnerabilidades de Cross-Site Scripting (XSS) em aplicações web que utilizam LLM no lado do servidor. Isso se tornou possível graças à pesquisa pioneira da Syhunt sobre o assunto que levou à adição de verificações de vulnerabilidades XSS que exploram as LLMs.
Foco na IA Generativa
A Syhunt planeja aumentar a cobertura de testes de segurança voltados para aplicações de IA generativa em versões futuras. Em janeiro de 2024, como parte de uma grande mudança estratégica, a empresa anunciou e decidiu que iria descontinuar as suas operações de monitorização da dark web, que não eram o negócio principal da empresa, para se concentrar mais na IA generativa. Apesar da mudança estratégica, a Syhunt planeja reformular e reintroduzir sua capacidade de scoring (pontuação) de violações no futuro.
Melhorias na versão 7.0.13
- Adicionadas verificações de vulnerabilidades de XSS específicas para sites que utilizam LLMs. Para mais detalhes, leia nosso artigo sobre o assunto.
- Recursos de mapeamento AJAX significativamente aprimorados.
- Adicionado suporte para pré-renderização e armazenamento local.
- Adicionado suporte opcional para Selenium Wire.
- Os relatórios HTML gerados com o modelo Completo agora incluem as informações de resposta.
- Adicionada uma nova regra de mapeamento (relacionada com Referer) ao Dynamic.
- Adicionada opção para excluir usuário na interface web do Syhunt.
- Adicionadas otimizações de mapeamento adicionais ao Dynamic.
- Recurso de login de IA aprimorado - taxa de sucesso aprimorada após atualização do modelo.
- Corrigido: falso positivo relacionado ao IFrame Cross-Zone Scripting ao analisar o código do lado do cliente.
- Corrigido: problema de processamento de arquivo MDB durante SAST.
É tudo por agora. Feliz caça aos bugs!