Syhunt | Updates

Novidades no Syhunt 6.9.17 (8 de agosto de 2022)

Syhunt Hybrid 6.9.17 adiciona integra��o com dashboards e verifica��es livres de falso-positivo

Estamos felizes em anunciar o lan�amento do Syhunt Hybrid 6.9.17. que adiciona a capacidade de se conectar automaticamente a dashboards de seguran�a, como o OWASP DefectDojo e o Faraday, para transmitir resultados de varreduras DAST e SAST. O painel de seguran�a permite que as equipes acompanhem os alertas de vulnerabilidade gerados pelo Syhunt e gerenciem sua superf�cie de ataque de forma centralizada a partir de um �nico local, enquanto automatizam e aceleram as principais etapas da gest�o de vulnerabilidades de suas aplica��es. A nova integra��o com dashboard pode ser habilitada em segundos e com apenas alguns cliques e inputs ou, se preferir atrav�s da CLI, com apenas alguns comandos, conforme explicado na documenta��o abaixo.

Al�m dos novos recursos de integra��o, o Syhunt 6.9.17 vem com verifica��es de inje��o baseadas em tempo que agora possuem uma taxa de 0% de falsos positivos - verifica��es baseadas em tempo geralmente s�o respons�veis por um alto n�mero de falsos positivos em outras ferramentas, sendo assim tal melhoria representa um marco e avan�o que complementa o j� altamente preciso motor Syhunt. O aprimoramento na precis�o se aplica a um grande n�mero de verifica��es no Syhunt Dynamic, incluindo verifica��es de Inje��o de C�digo, Inje��o de Linguagem de Express�o, Inje��o de NoSQL, Execu��o Remota de Comandos e Inje��o de SQL.

Integrando Syhunt com DefectDojo (j� dispon�vel)
Integrando Syhunt com Faraday (a seguir)

Melhorias na Vers�o 6.9.17

Adicionada integra��o com dois pain�is de appsec: DefectDojo e Faraday. O Syhunt agora pode enviar vulnerabilidades automaticamente para tais pain�is mencionados.
Os par�metros CLI -etrk e -si foram descontinuados e ser�o removidos no futuro. Por favor, utilize os novos par�metros -tk, -tk2 ou -tk3. Por exemplo, -etrk:trackername -esbj:"My Subject" deve ser substitu�do por: -tk:"trackername?subject=My Subject"
Removidos os par�metros -er e -esbj da CLI. O assunto do email agora deve ser passado usando o par�metro -tk conforme explicado acima.
Adicionado alias curto para condi��es de aprova��o/reprova��o: low, medium e high.
Verifica��es de inje��o baseadas em tempo aprimoradas, agora com taxa de falsos positivos de 0% para inje��o de c�digo, inje��o de linguagem de express�o, inje��o de NoSQL, execu��o de comando remoto e inje��o de SQL.
Adicionada uma op��o para visualizar uma lista de subdom�nios violados e seu status no Syhunt Breach.
Otimiza��es adicionais no spider (mapeador de estrutura).
Permite selecionar rastreadores a serem notificados na caixa de di�logo de prefer�ncias de verifica��o agendada.
Permite ativar a condi��o de falha com um �nico clique na caixa de di�logo de prefer�ncias de verifica��o agendada.
Simplificada a gera��o de relat�rios e exports.
Aprimorado o di�logo de prefer�ncias de verifica��o agendada.
Resultados aprimorados para varredura de c�digo C e Java em bases de c�digo maiores usando o m�todo de varredura padr�o.
Aplica��o de instala��o aprimorada.
Maior precis�o e verifica��o simplificada de SSL/TLS no Dynamic.
Detec��o de ponto de entrada adicional para aplica��es baseados em JS no Dynamic.
Verifica��es de inje��o mais r�pidas durante a varredura de aplica��es web.
Bin�rios OpenSSL atualizados.
Corrigido: um longo atraso acontecendo �s vezes ao aplicar uma atualiza��o.
Corrigido: longo atraso ao carregar a tela de Sess�es Passadas ou gerar um relat�rio ap�s escanear uma base de c�digo fonte extensa com Syhunt Code.
Corrigido: casos de falsos positivos XSS (afetando as verifica��es de n� 207 e n� 228) no Din�mico.
Corrigido um falso positivo de senha codificada.

Feliz ca�a de bugs e brechas!

Novidades no Syhunt 6.9.15 (17 de junho de 2022)

Syhunt Hybrid 6.9.15 adiciona detec��o da vulnerabilidade de RCE no Fastjson e mais

Hoje lan�amos o Syhunt Hybrid 6.9.15.1 que adiciona a detec��o da vulnerabilidade Fastjson RCE (CVE-2022-25845) � ferramenta Syhunt Code. A vulnerabilidade de execu��o remota de c�digo afeta as vers�es 1.2.80 e anteriores do Fastjson e � causada pela restri��o AutoType padr�o que pode ser ignorada em condi��es espec�ficas. Um invasor pode explorar esta vulnerabilidade cr�tica para realizar a execu��o remota de c�digo na m�quina alvo.

Para clientes que realizam varreduras regulares, a nova vers�o do Syhunt corrige um atraso que ocorria ao carregar a tela de Sess�es Passadas e ao gerar relat�rios com informa��es de compara��o.

Melhorias na Vers�o 6.9.15

Verifica��es adicionadas para a vulnerabilidade de execu��o remota de comandos no Fastjson de alta gravidade (CVE-2022-25845, pontua��o CVSS: 8.1) ao Syhunt Code.
Adicionados alertas adicionais relacionados �s vulnerabilidades do Log4J divulgadas no ano passado (CVE-2021-44832 e CVE-2021-45105) ao Syhunt Code.
Carregamento de sess�es anteriores significativamente mais r�pido.
Adicionadas otimiza��es de spidering adicionais no Dynamic.
Manipula��o de URL inicial aprimorada no Dynamic (aplica��es Angular).
Op��o Run once (Executar uma vez) no Agendador movida para a aba Avan�ado.
Corrigido: um problema de falso positivo envolvendo directory traversal e execu��o de comandos remotos em ativos.
Corrigido: Longa espera ao carregar a lista de sess�es passadas quando um grande n�mero de sess�es foi arquivado.

Feliz ca�a de bugs e brechas!

Novidades no Syhunt 6.9.14 (2 de junho de 2022)

Syhunt Hybrid 6.9.14 aprimora recursos de DAST, SAST e DWET

Estamos felizes em anunciar o lan�amento do Syhunt Hybrid 6.9.14 que melhora e expande as ferramentas dos produtos Syhunt Dynamic, Syhunt Code e Syhunt Breach. A nova vers�o vem com interface de usu�rio do Breach simplificada, verifica��es de viola��o aceleradas, envio autom�tico de problemas e a capacidade h� muito aguardada de ignorar alertas de vulnerabilidade espec�ficos ao realizar varreduras de DAST e SAST, al�m de outros aprimoramentos.

Melhorias na Vers�o 6.9.14

Breach: suporte adicionado para varreduras simult�neas e v�rias melhorias na interface e experi�ncia do usu�rio
Breach: varreduras significativamente mais r�pidas (de 1m18seg contra um dom�nio .com para cerca de 23seg e 3seg ap�s a primeira varredura).
Breach: adicionado o score de viola��o � lista de dom�nios monitorados.
Integra��es: adicionada a capacidade de enviar automaticamente um resumo das vulnerabilidades identificadas para rastreadores de problemas, como GitHub ou GitLab, por meio de CLI, pipeline CI/CD e Powershell. Mais
DAST: Pequenas melhorias no manuseio de URLs iniciais no Syhunt Dynamic.
DAST: vulnerabilidades agora podem ser ignoradas por seu ignore ID. Mais
DAST: Adicionadas v�rias verifica��es para vulnerabilidades do JBoss/Wildfly.
SAST: Adicionada a capacidade de ignorar vulnerabilidades criando o arquivo .vulnignore em reposit�rios ou diret�rios de c�digo. Se um Ignore ID mostrado no relat�rio for adicionado ao arquivo .vulnignore, a vulnerabilidade n�o ser� novamente reportada. Mais
SAST: Detec��o aprimorada da vulnerabilidade do Log4Shell em aplicativos Java.
SAST: corrigidos alguns falsos positivos em aplica��es Java (tr�s casos relatando Divulga��o de Informa��es, Forjamento de Log e Inje��o de XML)
Gerenciamento de licen�as aprimorado.
Corrigida: a op��o de importar sess�o n�o funcionando a partir do gerenciador de sess�o.

Feliz ca�a por bugs e brechas!

Novidades no Syhunt 6.9.13 (8 de abril de 2022)

Syhunt Hybrid 6.9.13 adiciona detec��o da vulnerabilidade Spring4Shell, expande os recursos de SCA e DWET

Mudan�a de nome: a ferramenta de busca de viola��es na dark web da Syhunt, anteriormente IcyDark, agora se chama Syhunt Breach.

Na semana passada, todos n�s aprendemos sobre a vulnerabilidade cr�tica Spring4Shell (CVE-2022-22965) que afeta as aplica��es constru�das com o Spring e que, quando explorada por invasores, pode resultar na execu��o remota de comandos. Hoje lan�amos o Syhunt Hybrid 6.9.13 que adiciona a detec��o da vulnerabilidade Spring4Shell �s ferramentas Syhunt, Syhunt Dynamic, Syhunt Code e Syhunt Forensic (anteriormente Syhunt Insight). Al�m desta verifica��o cr�tica no DAST, o Syhunt 6.9.13 expande seu componente SCA no Syhunt Code para cobrir a vulnerabilidade Spring4Shell al�m de adicionar 260 novos vazamentos relacionados a ransomware na sua ferramenta Syhunt Breach (anteriormente conhecida como IcyDark), atingindo um total de 3103 vazamentos de grupos de ransomware cobertos pela ferramenta.

Expandindo os recursos de SCA

Em 2019, a Syhunt adicionou a detec��o de c�digo JavaScript vulner�vel e desatualizado ao Syhunt Code 6.6, um recurso comum em ferramentas SCA (an�lise de composi��o de software). Isto fez com que o Syhunt Code fosse pela primeira vez al�m do SAST (an�lise est�tica de c�digo-fonte). Em dezembro de 2021, o componente de SCA foi atualizado para cobrir a vulnerabilidade Log4Shell e agora acaba de ser atualizado para tamb�m detectar a vulnerabilidade Spring4Shell. O Syhunt Code Composition, como � chamado, verifica os pacotes vulner�veis de Spring, SpringBeans, SpringBoot, SpringWebFlux e SpringWebMVC e atualmente est� dispon�vel sem custo adicional como parte das varreduras do Syhunt Code.

Altera��es nos Nomes dos Produtos

Hoje tamb�m anunciamos algumas mudan�as no nome de produtos. O Syhunt IcyDark passa a se chamar Syhunt Breach e o scanner de log Syhunt Insight agora se chama Syhunt Forensic. A mudan�a de nome refletir� com mais precis�o a natureza do produto que expandiu sua cobertura para oferecer suporte n�o apenas � busca de viola��es na dark web, mas tamb�m � preven��o de viola��es, an�lise forense e servi�os sob demanda por meio do console do Syhunt Hybrid. Apesar das mudan�as de nome que afetam os produtos mencionados, a divis�o de monitoramento da dark web da Syhunt mant�m o nome Icy.

Os nomes de produtos antigos e os novos nomes correspondentes

Syhunt Insight	->	Syhunt Forensic
Syhunt IcyDark	->	Syhunt Breach
Syhunt IcyScore	->	Syhunt Breach Score

Melhorias na Vers�o 6.9.13

Adicionados 260 novos vazamentos relacionados a ransomware ao Syhunt Breach, atingindo um total de 3.103 vazamentos de grupo de ransomware
Adicionadas 69 verifica��es de vulnerabilidade adicionais para aplicativos ASP.NET no Syhunt Code, abrangendo v�rias categorias de vulnerabilidade.
Adicionada integra��o com o dashboard DefectDojo
Adicionada verifica��o da vulnerabilidade Spring4Shell (CVE-2022-22965) para o Syhunt Dynamic.
Adicionadas verifica��es de vulnerabilidade Spring4Shell ao Syhunt Code Composition: verifica pacotes Spring, SpringBeans, SpringBoot, SpringWebFlux e SpringWebMVC vulner�veis.
Adicionadas verifica��es para backdoors da web relacionadas ao Spring4Shell ao Syhunt Dynamic.
Adicionadas verifica��es de varreduras Spring4Shell ao scanner de log Syhunt Forensic.
Adicionado um novo m�todo de varredura chamado Spring4Shell, que permite verificar especificamente as vulnerabilidades do Spring4Shell no Syhunt Dynamic e Code. Este m�todo tamb�m est� dispon�vel atrav�s da CLI.
Verifica��o de par�metros de depura��o aprimorada no Syhunt Dynamic.
Facilitada a inser��o do n�mero de registro comercial na tela de prefer�ncias do dom�nio.
Gerenciamento aprimorado de sess�o e token no Syhunt Dynamic.
Manipula��o de formul�rios aprimorada no Syhunt Dynamic.
Mapeamento aprimorado em situa��es de login.
Varredura otimizada contra alvos vulner�veis no Syhunt Dynamic.
Detec��o de PHPInfo aprimorada no Syhunt Dynamic.
Adicionada detec��o de ID fraco de sess�o no Syhunt Dynamic.
Formato JSON do GitLab atualizado para a vers�o 14.0.4.
A exporta��o JSON compat�vel com GitLab agora pode ser gerada fornecendo o nome do arquivo de sa�da com extens�o dupla .dast.json ou .sast.json.
Os bin�rios de instala��o para Windows agora s�o assinados com o certificado de c�digo da Syhunt.

Boa sorte na ca�a aos bugs!

Novidades no Syhunt 6.9.12 (22 de fevereiro de 2022)

Syhunt Hybrid 6.9.12 adiciona integra��o com o GitHub Actions e simplifica a CLI

No passado recente, a Syhunt anunciou a integra��o com v�rios sistemas, como o Azure DevOps, GitLab, TFS, Jenkins, JIRA e GitHub Issues. Agora lan�amos o Syhunt Hybrid 6.9.12 que adiciona integra��o com o GitHub Actions e outros aprimoramentos solicitados por clientes, al�m de simplificar a interface de linha de comando do produto. A nova vers�o facilita a execu��o de varreduras SAST e DAST por meio da CLI mantendo a compatibilidade com lan�adores e chamadas atualmente em uso, e permite tamb�m que o usu�rio defina um limite de tempo para varreduras, especificando um n�mero de dias, horas ou minutos. Al�m disso, a integra��o com o GitHub Actions agora � oficialmente suportada e foi documentada online, permitindo que as ferramentas de varredura de seguran�a de aplica��es da Syhunt sejam integradas em pipelines de entrega cont�nua na plataforma.

Nova op��o: Limite de Tempo

O Syhunt 6.9.12 adiciona uma op��o que permite limitar o tempo de varreduras Din�micas, de C�digo e Dark Web. Quando o limite de tempo � atingido durante uma varredura, ela � automaticamente cancelada.

Atrav�s da interface do usu�rio do Syhunt: Defina o valor na aba Advanced da caixa de di�logo de Dynamic Preferences.
Atrav�s do Agendador: Defina o valor na aba Advanced da caixa de di�logo de prefer�ncias de uma varredura agendada.
Atrav�s da CLI: Use a op��o -tml conforme descrito na documenta��o da CLI.
Atrav�s de Lua, REST API, GitHub, GitLab ou Powershell: Passe o par�metro timelimit para a fun��o de varredura conforme descrito na documenta��o de integra��es.
Atrav�s do Jenkins: Passe o par�metro timeLimit para a fun��o de varredura conforme descrito na documenta��o de integra��o com o Jenkins.

Melhorias na CLI

Adicionadas novas vari�veis que podem ser usadas em nomes de arquivos de relat�rio: {$DT} (data e hora atuais), {$DD} (data atual) e {$TM} (hora atual) - Dispon�vel atrav�s de CLI e do Agendador
Removido o par�metro -gr da CLI. Agora os relat�rios s�o gerados por padr�o.
Adicionado o par�metro -nr que permite desabilitar a gera��o de relat�rios
Removido o par�metro -gx da CLI. As exporta��es agora s�o geradas apenas se -xout ou -xout2 forem fornecidos.

Melhorias Adicionais

Adicionadas novas verifica��es para Nginx desatualizado.
Melhoria: a interface de usu�rio do Syhunt Hybrid agora salva as configura��es no disco imediatamente ap�s fechar a caixa de di�logo de prefer�ncias (a menos que o bot�o Cancelar seja pressionado).
Melhoria: a op��o de nega��o de servi�o foi movida da caixa de di�logo que inicia a varredura din�mica para a caixa de di�logo de prefer�ncias do site.
Corrigido: divulga��o de vers�o de tecnologia sendo adicionada a itens espec�ficos de viola��o de conformidade.
Corrigido: um erro ap�s definir um tamanho m�ximo de resposta impr�prio e excessivamente grande nas prefer�ncias do Dynamic.
Corrigido: uma falha no m�todo de autentica��o NTLM no Syhunt Dynamic.
Corrigido: um falso positivo no Syhunt Dynamic relacionado a uma resposta de erro JSON.

Boa sorte na ca�ada aos bugs!

Novidades no Syhunt 6.9.11 (17 de dezembro de 2021)

Syhunt Hybrid 6.9.11 adiciona detec��o da vulnerabilidade Log4Shell

Atualiza��o (28 de dezembro): Nosso alerta sobre a nova vulnerabilidade de RCE no Log4J 2.17.0, j� detectada pelo Syhunt 6.9.11.4. Leia sobre aqui

Desde a divulga��o p�blica da vulnerabilidade Log4Shell (CVE-2021-44228), de risco grave que afeta aplica��es Java, trabalhamos para preparar uma atualiza��o robusta do Syhunt para nossos recursos DAST, OAST, SAST e FAST que adicionam a detec��o da vulnerabilidade Log4Shell. Hoje lan�amos a vers�o 6.9.11 do Syhunt Hybrid, que adiciona tais recursos. A Syhunt recomenda que as organiza��es realizem revis�o e a��es imediatas que s�o absolutamente necess�rias para proteger totalmente seus servidores web e aplica��es contra esta vulnerabilidade que, quando explorada por invasores, pode resultar na execu��o de comando remoto.

As organiza��es devem certificar-se de que n�o possuem inst�ncias de vers�es vulner�veis do Log4J em produ��o em seus servidores e aplica��es. A vulnerabilidade acontece quando um input � passado para uma fun��o de logging de um servidor que usa uma vers�o vulner�vel do framework Log4J. Vers�es anteriores do Syhunt Code scanner alertavam sobre a passagem de input �s fun��es de logging do Log4J, o que seria identificado como uma vulnerabilidade de falsifica��o de log. Dependendo de como voc� abordou tais inst�ncias por meio de valida��o de entrada ou filtragem, voc� pode ter inadvertidamente adicionado alguma prote��o na sua aplica��o contra ataques Log4Shell, mas voc� deve ainda verificar novamente suas aplica��es e servidores com a �ltima vers�o do Syhunt e aplicar as corre��es do Log4J.

Capacidades de Detec��o Log4Shell

O Syhunt Hybrid 6.9.11 adiciona um novo m�todo de varredura chamado Log4Shell, que permite realizar varredura especificamente para as vulnerabilidades do Log4J usando o Syhunt Dynamic ou o Syhunt Code. Este m�todo est� dispon�vel por meio da GUI e da CLI do Syhunt Hybrid. Al�m disso, nosso verificador de logs de servidor web agora detecta tentativas de ataque Log4Shell. Leia abaixo sobre os novos recursos.

Atrav�s de SAST: Aumentamos o n�vel de gravidade das vulnerabilidades de inje��o de log ao analisar c�digo-fonte Java com o Syhunt Code, permitindo que voc� valide e filtre a entrada antes de passar para as fun��es de log Log4J. Por favor, note que voc� deve ainda localizar e atualizar suas inst�ncias vulner�veis do Log4J.
Al�m disso, adicionamos a detec��o dos arquivos JAR de Log4J-Core vulner�veis ao Syhunt Code, permitindo que voc� localize as vers�es vulner�veis ao CVE-2021-44228 dentro de diret�rios e reposit�rios de c�digo.
Atrav�s de FAST: Adicionamos a detec��o de tentativas de inje��o Log4Shell ao analisador de log Syhunt Insight.
Atrav�s de DAST e OAST: Adicionamos a detec��o da vulnerabilidade Log4Shell em ambientes Windows e Unix por meio de inje��o no Syhunt Dynamic. O servidor JNDI Exploit � usado para expandir a varredura DAST, interoperando com servi�o Syhunt Signal OAST. Os profissionais de teste de penetra��o agora podem habilitar esse recurso, seguindo o guia Syhunt Dynamic: Detec��o de Log4Shell.

Note que a edi��o Community do Syhunt Dynamic n�o vem com os novos recursos de detec��o Log4Shell suportados apenas pela vers�o completa do Syhunt Hybrid ou Dynamic.

Melhorias Adicionais

Adicionamos suporte � autentica��o Bearer e Digest (MD5/SHA256/SHA512) a partir da GUI e da CLI.

Boa sorte na ca�ada pelos bugs!

Novidades no Syhunt 6.9.10 (17 de novembro de 2021)

O Syhunt Community e Hybrid 6.9.10 agora rodam no macOS

Hoje temos o prazer de lan�ar a vers�o 6.9.10 do Syhunt Hybrid e Community, a primeira vers�o do Syhunt que roda em sistemas macOS. As ferramentas de verifica��o Syhunt CLI foram testadas e adaptadas para serem executadas no macOS Big Sur e macOS Monterey, e a documenta��o do produto foi atualizada para cobrir o processo de instala��o e o uso das ferramentas no macOS.

Para tornar poss�vel o Syhunt para macOS e todas as distribui��es de Linux para seus clientes e a comunidade, desde o ano passado a Syhunt adicionou um instalador baseado em Java e multiplataforma e trabalhou para tornar seu software compat�vel com Wine64 e expandir suas interfaces de linha de comando e recursos de integra��o.

Melhorias e Mudan�as

Adicionado suporte CLI para MacOS Big Sur e Monterey.
Ativa��o aprimorada por meio de GUI e CLI.

Esperamos que voc� goste do novo lan�amento!

Baixar Community

Novidades no Syhunt 6.9.9: IcyDark (8 de novembro de 2021)

Syhunt Community e Hybrid 6.9.9 adicionam monitoramento e teste de exposi��o na dark web

Estamos felizes em lan�ar hoje a vers�o 6.9.9 do Syhunt Hybrid e Community, que adicionam a primeira vers�o da ferramenta de teste de exposi��o na dark web da Syhunt, o Syhunt IcyDark. Depois da cria��o no in�cio de 2021 da Divis�o Icy para monitorar a dark web, o Syhunt IcyDark � a nossa resposta mais recente a um cen�rio de amea�as em r�pida evolu��o e constantes viola��es de dados. Projetado para ajudar empresas, organiza��es, ag�ncias governamentais e unidades militares n�o apenas a entender, mas mapear e responder aos vazamentos de dados que os afetam de uma forma mais eficaz, o Syhunt IcyDark atualmente cobre vazamentos relacionados a mais de 58 milh�es de dom�nios da Internet de todo o mundo.

Al�m de identificar os detalhes de vazamentos por meio do DWET (Dark Web Exposure Testing), a solu��o Syhunt IcyDark com todos os recursos, permite que organiza��es obtenham a pontua��o de privacidade e seguran�a de seus dom�nios da Internet com base em seu hist�rico, um recurso �nico chamado IcyScore. O Syhunt IcyDark tamb�m � uma solu��o de monitoramento de dark web que pode opcionalmente ser executada inteiramente on-premise por meio de um �nico modo offline, o que permite que a ferramenta seja adotada por ag�ncias governamentais e unidades militares que enfrentam restri��es na ado��o de solu��es baseadas em nuvem.

Alimentado por IA

O software e infraestrutura do Syhunt IcyDark utiliza bancos de metadados gerados pelo bot de processamento de vazamentos de dados Presta, desenvolvido internamente e alimentado pela constante coleta de dados e intelig�ncia humana da divis�o Icy. As bases de metadados e de dados fazem a cobertura de v�rios tipos de vazamentos e viola��es, incluindo exposi��es de credenciais, exposi��es de arquivos, incidentes de seguran�a anteriores, vazamentos de grupos de ransomware e muito mais. O c�rebro digital nos bastidores das opera��es di�rias (e noturnas) da Icy, a Presta � capaz de analisar grandes quantidades de vazamentos de dados coletados da superf�cie, da deep e dark web e utiliza IA (intelig�ncia artifical) para entender e processar vazamentos. Saiba mais

Melhorias e Mudan�as

Adicionada a primeira vers�o do Syhunt IcyDark.
Adicionado um utilit�rio de atualiza��o Syhunt para Windows.
Aprimorado o utilit�rio de atualiza��o Syhunt para Linux.
Aprimorada a integra��o com o Jenkins.
O par�metro branch agora est� vazio por padr�o no Syhunt Code, permitindo ao git buscar o branch padr�o se nenhum branch for fornecido.
CLI: Removido o par�metro -mcd em scanurl. De agora em diante, use o comando scancore para definir o limite de profundidade

Esperamos que voc� goste do novo lan�amento!

Baixar Community

Novidades no Syhunt 6.9.8 (11 de outubro, 2021)

Syhunt Community e Hybrid 6.9.8 adicionam o OWASP Top 10 2021, CWE Top 25 2021, teste de SSL e mais

A vers�o 6.9.8 do Syhunt Hybrid e Community est� finalmente dispon�vel. A nova vers�o adiciona m�todos de varredura e verifica��es de OWASP Top 10 e CWE Top 25 baseados na vers�o de 2021 dos documentos. Esta importante melhoria foi acrescentada nas varreduras de DAST e SAST do Syhunt.

O Syhunt 6.9.8 tamb�m adiciona ao Syhunt Dynamic uma capacidade muito solicitada por clientes: verifica��o de SSL no servidor. O novo teste de SSL do Syhunt Dynamic alerta sobre vers�es inseguras do protocolo SSL e tamb�m vers�es obsoletas do protocolo TLS sendo usadas pelo servidor web analisado.

Melhorias e Mudan�as

Adicionadas verifica��es para vers�es obsoletas do protocolo TLS e vers�es inseguras de SSL.
Adicionadas verifica��es de conformidade com o documento OWASP Top 10 2021.
Adicionadas verifica��es de conformidade com o CWE/SANS Top 25 2021.
Adicionadas otimiza��es novas para sites Wordpress.
Abortar uma varredura din�mica caso URL de in�cio seja arquivo est�tico.
Atualizado o c�digo de SSL e aprimorado o suporte ao TLS 1.3.
Corregido: removido o pedido da UI para rodar com permiss�es de administrador (adicionada temporariamente na �ltima atualiza��o).
Corrigido: um problema menor com o tamanho do di�logo de prefer�ncias do Dynamic em algumas resolu��es de tela.
Corrigido: o par�metro reportgl n�o sendo repassado pela API REST para a API Lua interna do Syhunt.
Usu�rios de API: Caso esteja usando a API REST, atualize sua chave de API pois a gerada anteriormente agora � inv�lida.

Esperamos que goste do novo lan�amento!

Baixar Community

Novidades no Syhunt 6.9.7 (24 de junho, 2021)

Syhunt Community e Hybrid 6.9.7 expandem interface de linhas de comando e mais

Uma nova atualiza��o est� dispon�vel para o Syhunt Hybrid que expande a interface de linhas de comando do produto, adiciona um servi�o de agendador para o Windows, aprimora o suporte ao formato APK no Syhunt Mobile que agora tamb�m funciona no Linux, verifica��es para uso de cabe�alhos de seguran�a descontinuados e diversas melhorias solicitadas por usu�rios.

Melhorias e Mudan�as

Adicionado um servi�o de agendador ao Syhunt Hybrid para Windows que funciona mesmo se voc� fizer logoff.
Adicionada compatibilidade com Doku wiki no Syhunt Dynamic.
Permitir a atualiza��o de prefer�ncias por meio da interface de linha de comando. Mais
Permitir redefinir o risco de uma vulnerabilidade por seu ID �nico de verifica��o. Mais
Permitir ID de verifica��o �nico (checkid) nas regras de vulnerabilidades a serem ignoradas.
Melhorada a atualiza��o de configura��es de rastreadores de problemas por meio da CLI Mais
Melhorada e documentada a API Lua do Syhunt Mais
An�lise de APK aprimorada, compatibilidade adicionada com Java 11 e suporte de an�lise de APK agora dispon�vel para o Syhunt Mobile no Linux.
Regras internas de crawling aprimoradas.
Verifica��es de cabe�alho de seguran�a atualizadas no Syhunt Dynamic (avisa sobre o uso de cabe�alhos obsoletos).
Corrigido: URL GIT no Azure DevOps Server n�o sendo aceito.
Corrigido: erro fatal ausente para SSL_ERROR_RX_RECORD_TOO_LONG no Dynamic.
Corrigido: alguns casos de falsos positivos nas categorias Senha Codificada e Recursos Desprotegidos no Syhunt Code.

Esperamos que voc� goste do novo lan�amento!

Baixar Community

Novidades no Syhunt 6.9.6 (26 de maio, 2021)

O Syhunt Community e Hybrid 6.9.6 adicionam suporte ao Azure DevOps e TFS

Hoje lan�amos outra atualiza��o para o Syhunt Community e Hybrid. A nova vers�o 6.9.6 adiciona a capacidade de verificar reposit�rios de projetos no Azure DevOps (tanto na nuvem quanto on-premises) e no TFS (Team Foundation Server) por vulnerabilidades e fraquezas de seguran�a nas aplica��es. O novo recurso que permite verificar endere�os de projetos Azure e TFS est� dispon�vel por meio da interface gr�fica do Syhunt Code e da ferramenta de CLI scancode para o Windows, complementa a capacidade do Syhunt de varrer URLs GIT e expande a lista de integra��es do produto, que atualmente inclui tamb�m integra��o com o PowerShell em sistemas Windows.

O suporte ao TFVC do Syhunt 6.9.6 � compat�vel com servi�os de nuvem e servidores modernos Azure DevOps e com o TFS 2018, al�m de vers�es mais antigas como a 2010, e foi poss�vel gra�as � ferramenta de TFS do Microsoft MVP Neno Loje.

Leia mais sobre a integra��o com o DevOps e TFS

Melhorias e Mudan�as

Adicionada a capacidade de verifica��o de c�digo-fonte iniciada a partir de URLs de projeto do Azure DevOps e TFVC / TFS. Mais
Adicionado o par�metro -excp na CLI do scancode, que permite especificar uma lista de caminhos a serem exclu�dos da an�lise.
Adicionado relat�rio JSON para varreduras iniciadas por meio da API REST, incluindo formato de sa�da compat�vel com GitLab.
Melhorado o mapeamento de JavaScript versionado no Syhunt Dynamic.
Avisar quando o URL do reposit�rio alvo de varredura estiver vazio ou for inv�lido.

Esperamos que voc� goste do novo lan�amento!

Baixar Community

Novidades no Syhunt 6.9.5 (10 de maio, 2021)

Syhunt Hybrid e Community 6.9.5 adiciona suporte ao TLS 1.3, amplia a integra��o com o Jenkins e mais

Hoje lan�amos a vers�o 6.9.5 do Syhunt Hybrid e Community. A nova vers�o adiciona suporte ao TLS 1.3 nas varreduras do Syhunt Dynamic e Code, amplia a integra��o do Jenkins oferecendo suporte n�o apenas ao Jenkins para Windows, mas tamb�m ao Jenkins para Linux, opcionalmente roda como um agente do Jenkins, e traz muitas melhorias solicitadas pelos usu�rios e corre��es.

Melhorias e Mudan�as

Adicionado suporte ao TLS 1.3 nas varreduras do Syhunt Dynamic e Code. Como parte de um pr�ximo lan�amento, o Syhunt tamb�m planeja adicionar suporte ao TLS 1.3 no navegador Syhunt Sandcat.
Adicionada integra��o com o Jenkins para Linux e extens�o atualizada para funcionar com a vers�o mais recente do Jenkins e com agentes Jenkins.
Adicionada a detec��o de CVEs adicionais que afetam JBoss e OpenSSL.
Adicionada a coluna de data da �ltima execu��o de uma varredura agendada no agendador.
Aprimorada a verifica��o de software desatualizado.
Aprimorada a abertura de di�logo de edi��o de vulnerabilidade.
Melhor aplica��o do limite de profundidade durante o mapeamento do site.
Maior precis�o das verifica��es de inje��o com base no tempo.
Permitir configurar um limite de profundidade zero na tela de Prefer�ncias do Site, o que faz com que o spider n�o mapeie as p�ginas al�m da primeira p�gina.
Gerenciamento de cookies aprimorado no Syhunt Dynamic.
An�lise passiva estendida (erros de SQL).
Corrigido: links internos no �ndice n�o funcionando no relat�rio PDF.
Corrigido: alguns arquivos tempor�rios n�o sendo removidos do disco ap�s a execu��o agendada da verifica��o de c�digo em URLs GIT.
Corrigido: falso positivo de web backdoor em painel de controle.
Corrigido: um erro ao verificar o c�digo de arquivos UTF8 malformados.

Esperamos que voc� goste do novo lan�amento!

Baixar Community

Novidades no Syhunt 6.9.3 (3 de novembro, 2020)

Syhunt Hybrid e Community 6.9.3 aprimoram an�lise de TypeScript, aceleram SAST e mais

Em agosto anunciamos varreduras incrementais 3x mais r�pidas. Agora estamos orgulhosos em lan�ar a vers�o 6.9.3 do Syhunt, que aprimora a an�lise est�tica de c�digo TypeScript, adiciona varreduras de c�digo 5x mais r�pidas e acelera a an�lise de c�digo JavaScript, inclui o Huntpad 2.0, bem como traz um grande n�mero de melhorias que se traduzem como performance e precis�o de DAST e SAST melhoradas. O foco da vers�o 6.9.3 � novamente JavaScript e o MEAN - no �ltimo ano a Syhunt acrescentou um grande n�mero de verifica��es de vulnerabilidades voltadas para o MongoDB, Express.js, Angular (v2 e superior), AngularJS, Node.js, Koa.js e jQuery e suporte inicial ao TypeScript. Agora levamos o suporte de MEAN ao pr�ximo nivel.

Quer seu c�digo TypeScript transpile para JavaScript que rode no navegador do lado do cliente ou do lado do servidor, o Syhunt 6.9.3 agora est� equipado para realizar a an�lise de seguran�a do c�digo por meio de seus recursos SAST e descobrir vulnerabilidades, fraquezas e problemas de qualidade antes que o c�digo seja compilado para JavaScript.

Novas Verifica��es de C�digo e Melhorias

Varreduras de c�digo aprox. 5x mais r�pidas e otimiza��es para acelerar an�lise de c�digo JavaScript.
An�lise e verifica��es de c�digo TypeScript aperfei�oadas.
Melhorias na varredura SAST de aplica��es web Ruby, ASP (cl�ssico) e JavaScript (precis�o adicional e verifica��es). Melhorada a detec��o autom�tica do tipo de JavaScript.
Melhorada a an�lise de valida��o de input em diversas linguagens, incluindo aplica��es web que utilizam ASP e JavaScript.
Adicionado o campo Vari�vel Afetada (Affected Variable) ao di�logo de propriedades de vulnerabilidade e ao relat�rio, e aprimorada a an�lise de uso de vari�veis.
Adicionada a lista de arquivos n�o-suportados durante uma varredura � se��o cobertura no relat�rio.

Huntpad 2.0 - O bloco de notas do ca�ador de bugs

Dois anos ap�s o primeiro lan�amento do Syhunt Huntpad, estamos felizes em lan�ar o Huntpad 2.0 64-bit com diversas novas fun��es e melhorias, o que inclui um gerador de senhas aleat�rias seguras e a capacidade de executar scripts em 12 linguagens de programa��o diferentes, incluindo v�rios motores de JavaScript e a linguagem TypeScript. Por que tantas linguagens? Todo revisor de c�digo, ca�ador de bugs e pen-tester sabe que � muito �til ter uma maneira de testar rapidamente pequenos trechos de c�digo e scripts antes de tentar execut�-los em um ambiente alvo real.

Outras Melhorias e Mudan�as

Aprimorado o mapeamento (spidering) do Syhunt Dynamic - Aprimorada a an�lise de JS, o manuseio de strings JS e formul�rios que possuem m�ltiplos m�todos de envio. Aprimorado o carregamento do parser de JS no Linux.
Varreduras din�micas mais r�pidas - Foram aceleradas as verifica��es de OAST e de redirecionamento n�o validado e tamb�m as varreduras nos m�todos CWE Top 25 e OWASP Top 10.
Adicionado o m�todo de varredura Application Scan (Server-Side Focused), que permite focar uma varredura apenas em vulnerabilidades no lado do servidor.
Adicionado um ID �nico para as verifica��es que fazem parte da base do Dynamic e do Code scanner.
Adicionado suporte ao ISO/IEC 27001 no relat�rio de conformidade.
Adicionada a detec��o de backdoors baseadas no Node.js e corrigido um caso de falso positivo envolvendo script de shell JS.
Melhorada a integra��o com Rastreadores de Problemas (Issue Trackers) - Permite emails separados por v�rgulas no campo Para (To) ao configurar um rastreador de problema do tipo email. Corrigido: o relat�rio de uma varredura agendada n�o sendo enviado por email em pelo menos duas situa��es diferentes.
Aprimorada a leitura do cache de varreduras incrementais.
Corrigido: o m�todo de varredura n�o sendo exibido de maneira precisa na tela de sess�es e no relat�rio em varreduras iniciadas pelo Syhunt Code.
Corrigido: IPs n�o sendo reconhecidos corretamente no web log durante uma varredura do Syhunt Insight.
Adeus � era 32 bit - De agora em diante, apenas a vers�o 64-bit do Syhunt ser� disponibilizada.

Esperamos que voc� goste do novo lan�amento!

Baixar Community

Novidades no Syhunt 6.9.1 (25 de agosto, 2020)

Syhunt Hybrid e Community 6.9.1 adicionam varreduras incrementais, 3.5x mais r�pidas

Hoje anunciamos mais uma atualiza��o para o Syhunt Hybrid e Community, que adiciona an�lise incremental, 3.5x mais r�pida no DAST e SAST. Com a nova funcionalidade dispon�vel no Syhunt 6.9.1, resultados e dados de varreduras realizadas contra uma URL ou base de c�digo-fonte espec�fica s�o automaticamente armazenadas e usadas para acelerar varreduras posteriores.

Para dar uma id�ia do quanto a nova funcionalidade � importante, uma an�lise din�mica realizada contra o PreyServer (nossa aplica��o web vulner�vel de demonstra��o) que normalmente dura 2m10 foi reduzida para apenas 38 segundos com a an�lise incremental depois de a primeira varredura ter sido executada. De maneira muito similar, uma an�lise de c�digo realizada em uma base de c�digo-fonte muito extensa com a dura��o de 6m21 foi reduzida para 1m49 depois da primeira varredura.

Todas as varreduras do Syhunt s�o agora por padr�o an�lises incrementais. O Syhunt gerencia automaticamente a nova funcionalidade, descartando dados incrementais de seu cache quando apropriado.

Outras Melhorias

Adicionada verifica��o para o Problema de Envenenamento de Cache SQUID-2020 durante processamento de requisi��o HTTP (CVE-2020-15049)
Permitir que a varredura incremental seja habilitada ou desabilitada nas prefer�ncias do site e nas caixas de di�logo de prefer�ncias de agendamento (habilitado por padr�o).
Permitir que os dados de varredura incremental sejam apagados manualmente das listas de Alvos din�micos e Varreduras programadas. Eventos como a atualiza��o do Syhunt ou 90 dias passados desde a cria��o do cache incremental far�o com que o Syhunt reinicie automaticamente seu cache incremental.
Adicionado o par�metro -inc que permite configurar o modo de varredura incremental atrav�s das ferramentas CLI ScanURL e ScanCode.
Agendador de varreduras aprimorado (lista aprimorada de verifica��es agendadas com novas colunas e �cones, adicionado o Agendador � tela do Launcher, permite renomear uma verifica��o agendada e muito mais).
Permitir que as colunas sejam ordenadas.
Corre��es de bugs: o status de uma verifica��o em andamento sendo relatado como cancelado na tela de sess�es anteriores (bug introduzido em 6.9.0.0), a coluna Target (Alvo) exibir� o nome de alvo adequado para novas verifica��es na tela de sess�es anteriores e corrigida um problema na gera��o de hash que raramente causava erro durante a execu��o da ferramenta.

Esperamos que voc� goste do novo lan�amento!

Baixar Community

Novidades no Syhunt 6.9 (5 de agosto, 2020)

e mais

Syhunt Hybrid e Community 6.9 agora rodam no Linux

Nota (9 de agosto): Testamos com sucesso o Syhunt 6.9 em distros e vers�es adicionais do Linux: Debian 9 e 10, CentOS 8 Minimal, Manjaro 19, Linux Mint 20, MX Linux 19 e Elementary OS 5.1.

Estamos felizes em anunciar o lan�amento imediato do Syhunt Hybrid e Syhunt Community vers�o 6.9, o primeiro lan�amento do Syhunt que abra�a a integra��o multiplataforma. No passado recente, a Syhunt abra�ou o desenvolvimento de c�digo-aberto, publicando o c�digo-fonte do seu navegador Syhunt Sandcat, da ferramenta Huntpad, e muitos outros softwares e bibliotecas importantes que a empresa desenvolveu e ativamente mant�m. Com o lan�amento de hoje, o Syhunt 6.9 simplesmente roda, out-of-the-box no Kali Linux e Parrot Security OS, e com praticamente zero esfor�o tamb�m roda em qualquer distribui��o Linux de 64-bit - instalamos e testamos com sucesso o Syhunt em 14 distribui��es Linux populares, incluindo o Ubuntu (Server e Desktop), CentOS, Fedora e openSUSE e, documentamos para cada distribui��o.

Para tornar o Syhunt para Linux poss�vel hoje e no longo termo para nossos clientes e a comunidade, a Syhunt adicionou um instalador multiplataforma Java e trabalhou para tornar seu software compat�vel com o Wine64, para expandir suas interfaces de linha de comandos e REST, e capacidades de integra��o, enquanto ao mesmo tempo a Syhunt trabalha em bin�rios nativos de 64-bit para as principais distribui��es Linux.

Outras Melhorias

Adicionada a op��o de exportar vulnerabilidades como regras de virtual patching para o ModSecurity CRS ao gerar um relat�rio.
Adicionada a op��o de login manual atrav�s de navegador externo via CLI ao ScanURL (par�metro -atype:Manual).
Adicionada a ferramenta ScanCore que permite v�rias opera��es via CLI tais como atualizar a chave de Pen-Tester, exibir informa��es sobre chaves, gerar a chave da web API, gerenciar e usar rastreadores de problemas e mais.
Melhorado o Agendador com muitas novas op��es e corre��es de bugs.
Permite agora por padr�o exportar todas as prefer�ncias da ferramenta atrav�s da op��o Import & Export no menu, usando a nova extens�o .scpbak.
A tela de sess�es anteriores agora exibe por padr�o varreduras dos �ltimos 7 dias e pode exibir diferentes per�odos selecionados.
O relat�rio HTML agora inclui todos os ativos necess�rios no mesmo arquivo.
Melhorado o gerenciamento de tarefas e a aplica��o de instala��o.
Melhorada a integra��o com os rastreadores GitHub e GitLab.
Melhoradas as regras do spider.

Esperamos que voc� goste da nova vers�o multiplataforma!

Baixar Community

Novidades no Syhunt 6.8.6 (1 de julho, 2020)

Syhunt Hybrid 6.8.6 integra-se ao GitLab CI e ao PowerShell

Temos o orgulho de anunciar o lan�amento do Syhunt Hybrid vers�o 6.8.6. A nova vers�o adiciona integra��o com o CI e painel de seguran�a do GitLab, permitindo que o Syhunt fa�a a an�lise cont�nua da seguran�a de aplica��es Web e m�veis em reposit�rios no Gitlab.com e vers�es auto-hospedadas do GitLab. A integra��o permite identificar o CWE Top 25 2019 (25 erros de software mais perigosos), o OWASP Top 10, o OWASP Mobile Top 10 e muitas outras vulnerabilidades, adotando as metodologias SAST e DAST nas pipelines e fases de DevOps.

Al�m disso, o Syhunt 6.8.6 agora tamb�m se integra ao PowerShell, permite realizar testes de aprova��o/reprova��o e exportar resultados das an�lises no formato JSON, tornando r�pida e simples a integra��o do Syhunt ao seu fluxo de trabalho de desenvolvimento, teste e implanta��o.

Leia mais sobre a integra��o do Syhunt com o GitLab CI/CD

Leia mais sobre como integrar o Syhunt ao PowerShell

Outras Melhorias

Precis�o aprimorada ao verificar arquivos de backup e realizar for�a-bruta de arquivos e diret�rios a partir do Syhunt Dynamic.
Adicionado o par�metro -pfcond nas ferramentas, incluindo a CLI para executar testes de aprova��o / reprova��o.
Adicionado os par�metros -gx e -xout na CLI que permitem exportar resultados em formatos adicionais al�m de relat�rios.
Corrigido: falso positivo envolvendo verifica��o de software desatualizado e mod_fcgid no Syhunt Dynamic.
Corrigido: alguns casos de falsos positivos ao analisar c�digo ASP.Net CSharp com Syhunt Code.

Esperamos que voc� goste do novo lan�amento!

Get Community

Novidades no Syhunt 6.8.5 (10 de junho, 2020)

Syhunt Hybrid 6.8.5 adiciona suporte ao GitLab e extende integra��o com rastreadores de problemas

A Syhunt est� feliz em lan�ar a vers�o 6.8.5 do Syhunt Hybrid. A nova vers�o extende a integra��o com rastreadores de problemas, adiciona suporte ao GitLab, r�tulos e campos personalizados em qualquer rastreador, bem como tokens de acesso. A nova vers�o tamb�m traz verifica��es melhoradas de cabe�alhos HTTP fracos ou ausentes e corre��es de bugs.

Melhorias na Integra��o com Rastreadores de Problemas

O Syhunt 6.8.5 extende op��es de integra��o com rastreadores de problemas, facilitando ainda mais configurar rastreadores e enviar detalhes sobre vulnerabilidades identificadas durante uma varredura para a p�gina dos projetos a partir do Syhunt, o que inclui projetos no GitHub, GitLab e JIRA.

Adicionado suporte ao Issues do GitLab.
Adicionado suporte melhorado para o JIRA: permite editar campos personalizados na tela de prefer�ncias do rastreador.
Permite editar uma lista de r�tulos ao configurar rastreadores de qualquer tipo.
Permite o uso de token pessoal de acesso nas prefer�ncias do rastreador GitHub.

Verifica��es Melhoradas de Cabe�alhos e Corre��es de Bugs

As verifica��es de cabe�alhos de seguran�a fracos ou ausentes recentemente adicionadas receberam sua primeira revis�o que corrigiu dois casos espec�ficos de falsos positivos: um falso positivo envolvendo a verifica��o de HSTS permissivo e um falso positivo envolvendo o cabe�alho X-Content-Type-Options.

Al�m dos falsos positivos acima, os seguintes bugs foram corrigidos no Syhunt Dynamic: um problema de handshake com TLS 1.2, um caso de problema ao lidar com redirecionamento http-equiv e um bug na funcionalidade experimental de evas�o de IDS (desligada por padr�o) que quando habilitada, fazia com que requisi��es fossem enviadas com a vers�o incorreta.

Esperamos que voc� goste do novo lan�amento!

Baixar Community

Novidades no Syhunt 6.8.3 (1 de maio, 2020)

Nota: o Syhunt 6.8.4 (lan�ado em 21 de maio) inclui um recurso de notifica��o de atualiza��es e algumas corre��es de bugs.

Syhunt Hybrid 6.8.3 adiciona m�todo aperfei�oado de login manual, reconhecimento de software de servidor e mais

Estamos felizes em lan�ar o Syhunt Hybrid vers�o 6.8.3. A nova vers�o traz importantes melhorias no DAST, incluindo reconhecimento aprimorado de software de servidor web, integra��o com o Google Chrome e Mozilla Firefox para efetuar login manual, an�lise h�brida de c�digo JavaScript no lado do cliente (SAST de dentro do DAST), e mais.

O Syhunt Hybrid 6.8.3 adiciona o Hunter-Sense�, um recurso de reconhecimento (fingerprinting) que permite detectar vers�es ocultadas de software de servidor e componentes. Caso um servidor web Apache ou Nginx ou um m�dulo de servidor esteja configurado para omitir sua vers�o, o Syhunt Hunter-Sense muitas vezes � capaz de reconstruir a "imagem" incompleta e determinar o n�mero de vers�o do servidor e de seus componentes como PHP, mod_ssl, OpenSSL e Phusion Passenger. Tal recurso pioneiro foi desenvolvido a partir de uma an�lise conduzida pela Syhunt em padr�es encontrados em 1 milh�o websites da Internet e permite que o Syhunt identifique servidores e componentes desatualizados e vulner�veis que passariam despercebidos por outras ferramentas.

Detec��o de Software Desatualizado de Servidor

O Syhunt Hybrid 6.8.3 adiciona mais de 1.200 verifica��es de servidores desatualizados e vulner�veis, com cobertura para mais de 30 tipos de servidores web e componentes � alimentado pelos novos recursos de reconhecimento Hunter-Sense. Al�m disso, o Syhunt Code foi integrado ao Syhunt Dynamic para realizar an�lise h�brida aumentada de JavaScript no lado do cliente - na qual o SAST do Syhunt executa de dentro do DAST. A abordagem inovadora de SAST de dentro do DAST permite que c�digos inseguros em JavaScript produzidos pelo cliente, bem como bibliotecas JavaScript desatualizadas e vulner�veis produzidas por terceiros sejam detectadas no lado do cliente atrav�s da an�lise din�mica.

Login Manual em Navegador Externo

O Syhunt Hybrid 6.8.3 interage com o Google Chrome e Mozilla Firefox sem a necessidade de instala��o de extens�o no navegador. Isso adiciona a capacidade de iniciar uma varredura em uma aplica��o web ap�s realizar o login em uma inst�ncia aberta de navegador - um processo f�cil de apenas 3 passos. M�todos j� conhecidos, como o login automatizado e login manual a partir do navegador embutido Sandcat, continuam dispon�veis na nova vers�o e tamb�m podem ser usados.

Outras Melhorias

A op��o que permite limitar a profundidade do mapeamento (crawling) e a op��o de OAST foram movidas para a tela de Prefer�ncias de Site (Site Preferences).
O modo padr�o de emula��o de navegador e user agent foi alterado para Chrome.
An�lise aprimorada de JavaScript em arquivos HTML.
A gera��o de relat�rios agora executa em um processo isolado, n�o bloqueando mais a interface durante outras opera��es.
Permiss�o para o protocolo SSH em URLs GIT.
Corrigido: um erro durante verifica��o de c�digo desatualizado ao analisar um script conhecido de terceiros.

Esperamos que voc� goste do novo lan�amento!

Baixar Community

Novidades no Syhunt 6.8.2 (3 de abril, 2020)

Syhunt Hybrid 6.8.2 adiciona an�lise de c�digo de aplica��es Ruby e mais

Uma nova atualiza��o lan�ada hoje traz um recurso muito aguardado para o Syhunt: a an�lise est�tica (SAST) para aplica��es web escritas na linguagem Ruby. O Syhunt 6.8.2 agora � capaz de examinar o c�digo fonte de aplica��es web em Ruby (Rails e ERB) para identificar problemas de seguran�a cobrindo mais de 19 categories de vulnerabilidade. De todas as linguagens de programa��o que foram adicionadas ao Syhunt nos �ltimos anos, Ruby era a �nica importante que estava faltando. Al�m deste importante novo recurso, o Syhunt 6.8.2 tamb�m inclui relat�rio de conformidade e m�todo de verifica��o para os 25 principais erros de software mais perigosos de 2019 (CWE Top 25), e exporta��o de vulnerabilidade compat�vel com o Imperva SecureSphere para permitir a aplica��o de patch virtual de novas vulnerabilidades na medida em que s�o identificadas pela ferramenta.

Verifica��es de c�digo para Ruby

Syhunt 6.8.2 adiciona verifica��es de c�digo-fonte para as seguintes vulnerabilidades e fraquezas em c�digo Ruby:

Cross-Site Scripting (XSS)
Inje��o de SQL
Manipula��o Arbitr�ria de Arquivos
Criptografia Quebrada
Inje��o de C�digo
Nega��o de Servi�o
Informa��es Confidenciais Codificadas
Inje��o de Cabe�alho HTTP
Comunica��o Insegura
Armazenamento Inseguro de Dados
Divulga��o de Informa��o
Falsifica��o de Log
M�s Pr�ticas
Hashing Fraco de Senha
Execu��o de Comando
Configura��o Incorreta de Seguran�a
Falsifica��o de Solicita��o do Lado do Servidor
String de Formato N�o Controlada
Redirecionamento N�o Validado

Outras Melhorias

Adicionada manipula��o de cabe�alhos HTTP no Syhunt Dynamic.
Adicionada sa�da XML compat�vel com Imperva SecureSphere WAF para aplica��o de patches virtuais (beta).
Adicionado um modelo de conformidade para o CWE Top 25 Most Dangerous Software Errors de 2019.
Adicionados dois novos m�todos de varredura: CWE Top 25 e OWASP Top 10, que permitem verificar especificamente os 25 erros de software mais perigosos e os 10 riscos mais cr�ticos de seguran�a de aplica��es Web.
Adicionada uma limpeza importante de arquivos tempor�rios criados durante o teste de OAST do Syhunt Dynamic.
An�lise aprimorada de c�digo Python.

Esperamos que voc� goste do novo lan�amento!

Baixar Community

Novidades no Syhunt 6.8.1 (6 de mar�o, 2020)

Syhunt adiciona An�lise H�brida Aumentada, OAST e An�lise de APK

Estamos orgulhosos de apresentar a vers�o 6.8.1 do Syhunt e, ao mesmo tempo, lan�ar o servi�o online Syhunt Signal (http://signal.syhunt.com/). A integra��o do scanner Syhunt com o Syhunt Signal adiciona a capacidade de realizar OAST (Out-of-Band Application Security Testing), que permite ao Syhunt detectar uma s�rie de vulnerabilidades invis�veis de alto risco do tipo OOB (out-of-band), bem como realizar An�lise H�brida Aumentada, uma combina��o das metodologias DAST, SAST e OAST. Usando uma variedade de t�cnicas OAST, o Syhunt 6.8.1 tamb�m � capaz de demonstrar a exfiltra��o de dados de um servidor web vulner�vel alvo de scan. As vulnerabilidades do tipo out-of-band s�o geralmente de alto risco, como variantes de Inje��o de Comando, Inje��o de SQL e Inje��o de XXE que n�o podem ser detectadas pelo DAST convencional, o que faz com que a ado��o da metodologia OAST se torne necess�ria.

Como parte deste lan�amento, tamb�m expandimos as capacidades de MAST (Mobile Application Security Testing) do Syhunt, adicionando a capacidade de realizar a engenharia reversa e an�lise de arquivos APK (Pacote Android) com foco nos riscos OWASP Mobile Top 10 e CWE/SANS Top 25.

An�lise H�brida Aumentada e OAST

Syhunt Hybrid simula ataques inferenciais, dentro e fora da banda (out-of-band) usando ponto de entradas e outras informa��es adquiridas atrav�s de SAST e a combina��o de DAST e OAST. O servi�o online de OAST da Syhunt, conhecido como Syhunt Signal, aguarda requisi��es for�adas provenientes de um servidor web vulner�vel ao longo de uma varredura e sinaliza de volta para o scanner Syhunt. A partir da� o Syhunt correlaciona automaticamente os alertas recebidos do Signal com requisi��es de ataque que foram lan�adas pela ferramenta e adiciona as vulnerabilidades identificadas ao relat�rio e � interface. A colabora��o com o Syhunt Signal tamb�m permite que o scanner Syhunt extraia dados de forma autom�tica de um alvo vulner�vel, que s�o adicionados aos resultados da varredura. A extra��o de dados � alcan�ada atrav�s de diferentes t�cnicas (espec�ficas para diferentes ambientes e sistemas operacionais).

A capacidade de realizar OAST est� dispon�vel sem custo adicional para clientes atuais do Syhunt Dynamic e Syhunt Hybrid. O novo recurso precisa de uma conex�o ativa com a Internet para funcionar, de modo que o Syhunt Dynamic possa se comunicar com o Syhunt Signal.

Verifica��es de Vulnerabilidade OOB (Out-of-Band)

O Syhunt 6.8.1 adiciona verifica��es para variantes out-of-band dos seguintes tipos de vulnerabilidades:

Execu��o de Comandos
Inclus�o de Arquivo Remoto (RFI)
Falsifica��o de Requisi��o do Lado do Servidor (SSRF)
Inje��o de SQL
Inje��o de Entidade Externa XML (XXE)

An�lise de APK (Pacote Android)

O Syhunt 6.81 adiciona a capacidade de analisar aplica��es Android a partir de arquivos de Pacote Android (APK). O novo recurso est� dispon�vel sem custo adicional para clientes atuais do Syhunt Mobile, Syhunt Code Plus e Syhunt Hybrid Platinum Plus, e permite analisar uma aplica��o Android para identificar vulnerabilidades sem a necessidade de ter os arquivos de c�digo-fonte da aplica��o. Apesar do suporte para arquivos APK, ainda � recomendado analisar os arquivos de c�digo-fonte das aplica��es, se dispon�veis, uma vez que a an�lise de arquivo APK usa t�cnicas de engenharia reversa.

Outras Melhorias

Adicionada a capacidade de analisar um �nico arquivo de c�digo-fonte atrav�s di�logo de Novo Scan.
Corrigido: alguns resultados redundantes de vulnerabilidades de inclus�o remota de arquivos.
Corrigido: um problema com an�lise de arquivo �nico de c�digo-fonte envolvendo a CLI ScanCode
As ferramentas de CLI agoram destacam em vermelho sobre erros fatais.

Esperamos que voc� goste da nova vers�o!

Download Community

Novidades no Syhunt 6.8 (27 de janeiro, 2020)

Syhunt expande as verifica��es para apps iOS e falta de prote��es em web apps

Em setembro do ano passado anunciamos o suporte para aplica��es m�veis Android & iOS. Agora estamos orgulhosos de apresentar a vers�o 6.8 do Syhunt, que estende bastante sua base de verifica��es para iOS apps, bem como expande as verifica��es de vulnerabilidade para aplica��es web din�micas. Como parte desta grande atualiza��o, aumentamos o n�mero de verifica��es de c�digo-fonte em Swift & Objective-C, as principais linguagens usadas no desenvolvimento de aplica��es iOS, de 64 para 248 verifica��es - confira a lista completa de verifica��es de vulnerabilidade e uma breve lista das categorias das verifica��es logo abaixo nesta p�gina.

Adicionamos tamb�m muitas melhorias solicitadas por clientes e corre��es, incluindo novas verifica��es de Angular desatualizado e dezenas de verifica��es de aus�ncia de prote��es que dizem quando a configura��o de um servidor web pode ser refor�ada.

Verifica��es de Falta de Prote��es em Aplica��es Web

O Syhunt 6.8 adiciona dezenas de verifica��es para a aus�ncia de medidas de prote��o contra ataques como clickjacking, content-sniffing XSS e outros, o que inclui verifica��es de cabe�alhos de seguran�a HTTP ausentes ou fracos, pol�tica permissiva de HTTP Strict Transport Security (HSTS), o uso de pol�ticas obsoletas e mais.

Novas Verifica��es para Swift & Objective-C

O Syhunt 6.8 adiciona 184 novas verifica��es de c�digo direcionadas �s principais linguagens de desenvolvimento de apps iOS, cobrindo:

Abuso & Uso Indevido de API (nova, cobre autentica��o biom�trica, uso de SMS, etc.)
Manipula��o Arbitr�ria de Arquivos (nova)
Autentica��o Quebrada (expandida)
Criptografia Quebrada (expandida)
Cross-Site Scripting (XSS) (nova)
Inje��o de C�digo (nova)
Informa��es Confidenciais Codificadas (expandida)
Vazamento de Informa��es (novas)
Comunica��o Insegura (novas)
Armazenamento Inseguro de Dados (expandida para cobrir casos de prote��o de dados ausentes ou insuficientes)
Inje��o de JSON (expandida)
Inje��o de XML (nova)
Inje��o de XPath (nova)
Forjamento de Registro (Log) (nova)
Inje��o de Express�o Regular (nova)
Configura��o Incorreta de Seguran�a (expandida)
String de Formato N�o Controlada (expandida)
Pontos de Entrada (expandida)

O suporte para mobile est� dispon�vel de forma limitada no Syhunt Community e dispon�vel integralmente para clientes novos e atuais atrav�s de uma extens�o de produto separada chamada Syhunt Mobile.

Melhorias Adicionais no Dynamic

Melhorias adicionais feitas no Syhunt Dynamic incluem:

Otimiza��es no mapeamento de websites fortemente gerados de maneira din�mica.
Preenchimento autom�tico aprimorado de campos dinamicamente ajustados em formul�rios.
For�a bruta expandida contra a estrutura de um caminho de URL inicial.
Corrigido: um erro de tratamento durante o redirecionamento em URL inicial envolvendo caminhos relativos, e aprimorado casos adicionais de tratamento de redirecionamento via JS.
Corrigido: refer�ncias CVE n�o aparecendo para grupos espec�ficos de verifica��es.
Corrigido: Op��es de modelo de relat�rio de conformidade para aplica��es web n�o aparecendo ao utilizar uma licen�a que n�o seja Platinum Plus.

Melhorias e Verifica��es de C�digo Adicionais

Adicionadas verifica��es de casos adicionais de XSS nas verifica��es para Android.
Adicionadas novas verifica��es de Angular desatualizado (Polui��o de Prot�tipo, Nega��o de Servi�o e m�ltiplas vulnerabilidades XSS).
Adicionado o realce de sintaxe e an�lise de arquivos e cabe�alhos C/C++.
Corrigido: um falso positivo envolvendo n�meros de vers�o e uma verifica��o de recurso codificado.

Outras Melhorias

Adicionada a capacidade de importar alvos e favoritos de arquivos em formato CSV ou lista.
Alterado o formato de data para melhor visualiza��o na tela de Sess�es Anteriores (Past Sessions) e no relat�rio.
Corrigido: a interface de usu�rio n�o destacando quando o Git for Windows precisa ser instalado ou a respeito de outros erros fatais.
Corrigido: varreduras canceladas algumas vezes sendo listadas com o status Scanning na tela de sess�es.

Esperamos que voc� goste da nova vers�o!

Download Community