ProHoster > Блог > интернет жаңалықтары > Vigolium v0.1.13-бета нұсқасы

Vigolium v0.1.13-бета нұсқасы

Алғашқы көпшілікке арналған басылым жарияланды Vigolium v0.1.13-бета нұсқасы — веб-қосымшаларға арналған осалдық сканері, ол классикалық детерминирленген сканерлеуді LLM негізіндегі агент негізіндегі аудитпен біріктіреді. Жоба GitHub-та қолжетімді және лицензия бойынша таратылады. GNU AGPLv3коммерциялық бөлігі бұлтқа жылжытылады Бұлттық консоль, ал сканер өзегі ашық деп жарияланады.

Vigolium екі негізгі жұмыс режимін ұсынады: vigolium сканерлеуі — мазмұнды іздеу, шолғышты қарап шығу және белсенді және пассивті аудиті бар стандартты көп сатылы сканерлеу; және vigolium агенті — агентке негізделген режим, мұнда LLM модульдерді таңдайды, шабуылдарды жоспарлайды, арнайы JavaScript кеңейтімдерін жасайды және динамикалық тестілеуді бастапқы кодты аудитпен біріктіреді.

Сәйкесінше ағымдағы модуль анықтамалығыВиголий құрамына кіреді 251 тексеру модулі, Олардың ішінен 154 белсенді и 97 пассивтіБелсенді модульдер өзгертілген сұраныстарды жібереді және фуззинг, инъекциялар және мінез-құлық талдауын қолданады, ал пассивті модульдер қосымша трафик тудырмай, бар сұраныс/жауап жұптарын талдайды.

Ерекшеліктері

  • Native Scan - стандартты детерминирленген сканерлеу.
    Vigolium сканерлеу режимі жылдам және қайталанатын тексерулерге арналған. Ол бірнеше кезеңнен өтеді: сыртқы деректерді жинау, мазмұнды ашу, браузер/SPA спайдерингі және аудит. Бұл режим CI, тұрақты тексерулер және LLM қажеттілігінсіз болжамды нәтижелер маңызды болатын жағдайлар үшін ыңғайлы.

  • Agentic Scan — LLM арқылы агентке негізделген аудит.
    Vigolium агент режимі кіріктірілген жұмыс уақытын пайдаланады олийАгент соңғы нүктелерді өз бетінше іздей алады, модульдерді таңдай алады, тексерулерді жүргізе алады, кодты талдай алады, SAST іске қоса алады және нәтижелерді қайта тексере алады. Автопилот, Swarm және Query режимінің сценарийлеріне қолдау көрсетіледі: автономды нысананы сканерлеуден бастап кодты қарауға арналған бір реттік сұраныстарға, соңғы нүктелерді іздеуге және құпия ашуларға дейін.

  • XSS, SQLi, NoSQLi, SSTI, LFI, RCE, XXE және SSRF тексерулері.
    Модуль сілтемесінде көрсетілген XSS, қатеге негізделген SQL инъекциялары, логикалық негізделген соқыр SQLi, NoSQL инъекциялары, сервер жағындағы үлгі инъекциясы, жергілікті файлды қосу, командалық инъекция, XXE, SSRF және диапазоннан тыс осалдықтарды тексеру тізімі берілген. Нәтижелер маңыздылық шкаласы бойынша маңыздылықтан ақпаратқа дейін және сенімділік шкаласы бойынша сенімділік, нақтылық және болжамдылық бойынша бағаланады.

  • OAST «соқыр» осалдықтарды тексереді.
    Vigolium interactsh қоса алғанда, кері шақыру механизмдері арқылы соқыр XSS, соқыр SSRF, соқыр XXE және соқыр RCE-ді тексере алады. Бұл осалдық HTTP жауабында тікелей көрінбейтін, бірақ сервер сыртқы DNS/HTTP сұрауын жасайтын немесе кейінге қалдырылған әрекетті орындайтын жағдайлар үшін қажет.

  • Құндылықты ескеретін мутация - бұл мәннің мәнін ескеретін параметрлердің мутациясы.
    Сканер параметрлерді семантикалық түрі бойынша жіктейді: сан, UUID, JWT, электрондық пошта және басқа нұсқалар, содан кейін контекстке негізделген мутацияларды таңдайды. Бұл барлық өрістерге бірдей пайдалы жүктемелерді енгізумен салыстырғанда шуды азайтуы керек.

  • Әртүрлі енгізу форматтарын қолдау.
    Кіріс деректеріне URL мекенжайлары, OpenAPI/Swagger сипаттамалары, Postman жинақтары, Burp Suite деректері, cURL және Nuclei JSONL кіреді. URL мекенжайларын stdin арқылы да беруге болады және жеке сканерлеу фазаларын іске қосуға болады.

  • Аутентификацияланған сканерлеу және IDOR/BOLA тексерулері.
    Vigolium бір уақытта бірнеше сеансты қолдайды: сеанстарды желі ішінде өткізуге, файлдардан жүктеуге немесе токенді алу арқылы толық кіру ағындары ретінде сипаттауға болады. Бұл IDOR/BOLA және артықшылықтарды арттыруды қоса алғанда, көлденең және тік кіруді бақылау тексерулері үшін қолданылады.

  • Рамаларды және типтік ағып кетулерді тексеру.
    Модульдер тізіміне Next.js, Spring/Java, Django, Flask, FastAPI, Laravel, Symfony, Rails, Express және ASP.NET/IIS тексерулері кіреді. Мысалы, Spring үшін public Actuator endpoints, Spring Boot Admin, Spring Cloud Config, H2 Console, Jolokia және Java қолданба серверінің консольдері тексеріледі; Next.js үшін /_next/data арқылы ағып кетулер, Image Optimizer ішіндегі SSRF және аралық бағдарламалық жасақтаманы айналып өту тексеріледі.

  • JavaScript кеңейтімдері.
    Пайдаланушылар өздерінің модульдері мен ілмектерін JavaScript-те сеансты білетін HTTP API бар кіріктірілген JS қозғалтқышын пайдаланып жаза алады. Бір маңызды шектеу: мұндай кеңейтімдер кез келген командаларды орындай алады және құм жәшігінде сақталмайды, сондықтан оларды кәдімгі орындалатын код ретінде қарастыру керек.

  • Нәтижелерді алу үшін бөлек сұрыптау кезеңін таңдаңыз.
    LLM көмегімен жүргізілетін қауіпсіздік тестілеуінде көбінесе сенімді, бірақ қайталанбайтын нәтижелер мәселесі туындайды. Vigolium авторы сұрыптауды бөлек өту ретінде сипаттайды: алдымен сканер кандидаттарды жинайды, содан кейін бөлек тексеру әрбір нәтижені дәлелдермен салыстырып қайта тексереді.

  • Агент режимі үшін бюджет шектеулері.
    Агентке негізделген сканерлеу үшін сіз токендерді, құралды шақыру санын, триаж итерацияларының санын және жалпы орындау уақытын шектей аласыз. Бұл CI және бекітілген уақыттық ену сынақтары үшін маңызды: агент бір нысананы шексіз «қазып», пайдасыз гипотезаларға бюджетті жұмсамауы керек.

  • Есептер, кезек және масштабтау.
    Native Scan бір мезгілде жұмысшылар пулын, әрбір хост үшін жылдамдықты шектеуді, жадта, дискіде немесе Redis-те гибридті кезекті және өзіндік HTML есептерін ұсынады. Console, JSON және HTML шығыстары қолжетімді.

  • Сервер режимі, API және Burp Suite-пен интеграция.
    Vigolium API сервері ретінде жұмыс істей алады, трафикті қабылдай алады, мөлдір HTTP проксиін қоса алады және алынған деректерді автоматты түрде сканерлей алады. Burp Suite үшін бөлек кеңейтім, burp-vigolium, Vigolium серверіне тікелей трафик жіберуге мүмкіндік береді.

  • Жұмыс үстелі және консоль.
    CLI-ден басқа, жобада сипатталған Workbench — нәтижелерді визуализациялауға, жобаларды басқаруға және нәтижелерді бақылауға арналған өзіндік басқару тақтасы. Console — басқарылатын сканерлеу, орталықтандырылған есеп беру, ынтымақтастық және тексеруді жоспарлау үшін бұлтқа негізделген коммерциялық қабат.

параметр

Жоба shell script, npm, Docker, Homebrew, Bun және бастапқы код арқылы орнатуды ұсынады. Бастапқы код арқылы құру талаптары README файлында көрсетілген. 1.26+ деңгейіне өтіңіз и тоқаш 1.3.11+.

curl -fsSL https://vigolium.com/install.sh | bash

npm install -g @vigolium/vigolium

docker pull j3ssie/vigolium: соңғы нұсқасы
docker run --rm j3ssie/vigolium: соңғы сканерлеу -h

Әзірлеушілер Vigolium шабуыл жасайтын қауіпсіздік құралы екенін ерекше ескертеді: агент режимі құм жәшігінсіз жұмыс істейді және қабыққа, файлдық жүйеге және хост желісіне толық қол жеткізе алады, ал кеңейтімдер кездейсоқ командаларды да орындай алады. Сондықтан, агент негізіндегі сканерлеуді бір рет қолданылатын контейнерде немесе нақты тестілеу ортасымен шектелген виртуалды машинада іске қосу ұсынылады.

Ақпарат көзі: linux.org.ru

DDoS қорғауы бар сайттар үшін сенімді хостинг, VPS VDS серверлерін сатып алыңыз 🔥 DDoS қорғанысы, VPS VDS серверлері бар сенімді веб-сайт хостингін сатып алыңыз | ProHoster