ProHoster > Blog > internetové zprávy > Vigolium v0.1.13-beta

Vigolium v0.1.13-beta

Zveřejněna první veřejná verze Vigolium v0.1.13-beta — skener zranitelností pro webové aplikace, který kombinuje klasické deterministické skenování s agentním auditem založeným na LLM. Projekt je dostupný na GitHubu a je distribuován pod licencí GNU AGPLv3komerční část se přesouvá do cloudu Cloud Console, zatímco jádro skeneru je deklarováno jako otevřené.

Vigolium nabízí dva hlavní provozní režimy: vigolium scan – standardní vícestupňové skenování s vyhledáváním obsahu, prohledáváním prohlížeče a aktivním a pasivním auditem; a vigolium agent – ​​režim založený na agentech, kde LLM vybírá moduly, plánuje útoky, generuje vlastní JavaScriptová rozšíření a kombinuje dynamické testování s auditem zdrojového kódu.

Podle aktuální referenční příručka modulů, Vigolium obsahuje 251 ověřovacích modulů, z nich 154 aktivních и 97 pasivníAktivní moduly odesílají upravené požadavky a používají fuzzing, injections a behaviorální analýzu, zatímco pasivní moduly analyzují existující páry požadavek/odpověď bez generování dalšího provozu.

Možnosti

  • Nativní skenování je standardní deterministické skenování.
    Režim skenování Vigolium je navržen pro rychlé a opakovatelné kontroly. Prochází několika fázemi: sběr externích dat, vyhledávání obsahu, prohledávání prohlížeče/SPA a audit. Tento režim je vhodný pro CI, pravidelné kontroly a situace, kde jsou důležité předvídatelné výsledky bez nutnosti LLM.

  • Agent Scan — audit založený na agentech s LLM.
    Režim agenta Vigolium používá vestavěný běhový modul oliumAgent může samostatně vyhledávat koncové body, vybírat moduly, spouštět kontroly, analyzovat kód, spouštět SAST a znovu kontrolovat zjištění. Podporovány jsou scénáře v režimech Autopilot, Swarm a Query: od autonomního skenování cílů až po jednorázové požadavky na kontrolu kódu, vyhledávání koncových bodů a objevování tajných bodů.

  • Kontroly XSS, SQLi, NoSQLi, SSTI, LFI, RCE, XXE a SSRF.
    Referenční informace k modulům uvádějí kontroly odražených XSS, SQL injections založených na chybách, booleovských slepých SQLi, NoSQL injections, server-side template injection, lokální zahrnutí souborů, command injection, XXE, SSRF a out-of-band zranitelností. Nálezy jsou hodnoceny na stupnici závažnosti od kritické po informativní a na stupnici spolehlivosti od jisté, pevné až po předběžné.

  • OAST kontroluje „slepé“ zranitelnosti.
    Vigolium dokáže kontrolovat slepé XSS, slepé SSRF, slepé XXE a slepé RCE pomocí mechanismů zpětného volání, včetně interactsh. To je nezbytné v případech, kdy se zranitelnost neprojeví přímo v HTTP odpovědi, ale server provede externí DNS/HTTP požadavek nebo provede odloženou akci.

  • Mutace s ohledem na hodnotu je mutace parametrů, která bere v úvahu význam hodnoty.
    Skener klasifikuje parametry podle sémantického typu: číslo, UUID, JWT, e-mail a další varianty a poté vybírá mutace na základě kontextu. To by mělo snížit šum ve srovnání s hrubým vkládáním identických dat do všech polí.

  • Podpora různých vstupních formátů.
    Vstupy zahrnují URL adresy, specifikace OpenAPI/Swagger, kolekce Postman, data Burp Suite, cURL a Nuclei JSONL. URL adresy lze také předávat přes stdin a spouštět jednotlivé fáze skenování.

  • Ověřené skenování a kontroly IDOR/BOLA.
    Vigolium podporuje více relací současně: relace lze předávat inline, načítat ze souborů nebo popisovat jako úplné přihlašovací toky s extrakcí tokenů. Toto se používá pro horizontální a vertikální kontroly přístupu, včetně IDOR/BOLA a eskalace oprávnění.

  • Kontrola rámů a typických netěsností.
    Seznam modulů zahrnuje kontroly pro Next.js, Spring/Java, Django, Flask, FastAPI, Laravel, Symfony, Rails, Express a ASP.NET/IIS. Například pro Spring se kontrolují veřejné koncové body Actuator, Spring Boot Admin, Spring Cloud Config, H2 Console, Jolokia a konzole aplikačního serveru Java; pro Next.js se kontrolují úniky dat přes /_next/data, SSRF v Image Optimizer a obchvaty middlewaru.

  • Rozšíření JavaScriptu.
    Uživatelé si mohou psát vlastní moduly a hooky v JavaScriptu pomocí vestavěného JS enginu s HTTP API, které je řízeno relací. Jedno důležité omezení: taková rozšíření mohou spouštět libovolné příkazy a nejsou uzavřena v sandboxu, takže by měla být považována za běžný spustitelný kód.

  • Samostatná fáze třídění pro výsledky.
    V bezpečnostním testování s pomocí LLM se často objevuje problém věrohodných, ale nereprodukovatelných nálezů. Autor Vigolia popisuje triáž jako samostatný průchod: nejprve skener shromáždí kandidáty a poté samostatná kontrola znovu ověří každý nález oproti důkazům.

  • Rozpočtové limity pro režim agenta.
    U skenování agenty můžete omezit tokeny, počet volání nástrojů, počet iterací třídění a celkovou dobu provádění. To je důležité pro CI a penetrační testy s pevným časem: agent by neměl donekonečna „prohledávat“ jeden cíl a plýtvat rozpočtem na neužitečné hypotézy.

  • Reporty, fronty a škálování.
    Nativní skenování nabízí fond souběžných pracovních procesů, omezení rychlosti pro jednotlivé hostitele, hybridní frontu v paměti, na disku nebo v Redisu a samostatné HTML reporty. K dispozici je výstup ve formátu konzole, JSON a HTML.

  • Serverový režim, API a integrace se sadou Burp Suite.
    Vigolium může běžet jako API server, přijímat provoz, povolit transparentní HTTP proxy a automaticky skenovat přijatá data. Pro Burp Suite je zmíněno samostatné rozšíření burp-vigolium, které umožňuje odesílat živý provoz na server Vigolium.

  • Pracovní stůl a konzole.
    Kromě rozhraní příkazového řádku projekt popisuje Workbench — vlastní hostovaný dashboard pro vizualizaci výsledků, správu projektů a sledování zjištění. konzola — cloudová komerční vrstva pro spravované skenování, centralizovaný reporting, spolupráci a plánování inspekcí.

Instalace

Projekt nabízí instalaci pomocí shell skriptu, npm, Dockeru, Homebrew, Bun a sestavení ze zdrojového kódu. Požadavky pro sestavení ze zdrojového kódu jsou uvedeny v souboru README. Jdi 1.26+ и houska 1.3.11+.

curl -fsSL https://vigolium.com/install.sh | bash

npm install -g @vigolium/vigolium

docker pull j3ssie/vigolium:latest
docker run --rm j3ssie/vigolium:poslední sken -h

Vývojáři konkrétně varují, že Vigolium je útočný bezpečnostní nástroj: agentský režim běží bez sandboxu a má plný přístup k shellu, souborovému systému a hostitelské síti, zatímco rozšíření mohou také spouštět libovolné příkazy. Proto se doporučuje spouštět skenování založené na agentech v jednorázovém kontejneru nebo virtuálním počítači omezeném na specifické testovací prostředí.

Zdroj: linux.org.ru

Kupte si spolehlivý hosting pro stránky s DDoS ochranou, VPS VDS servery 🔥 Kupte si spolehlivý webhosting s ochranou DDoS, VPS VDS servery | ProHoster