ProHoster > Blog > nûçeyên înternetê > Vigolium v0.1.13-beta

Vigolium v0.1.13-beta

Daxuyaniya giştî ya destpêkê hate weşandin Vigolium v0.1.13-beta — skanerêkî lawaziyan ji bo sepanên webê ku skankirina diyarker a klasîk bi vekolîna ajan-bingeha li ser bingeha LLM-ê re dike yek. Proje li ser GitHub-ê heye û di bin lîsansekê de tê belavkirin. GNU AGPLv3; beşa bazirganî bo ewr tê veguhastin Cloud Console, di heman demê de ku navenda skanerê wekî vekirî tê ragihandin.

Vigolium du awayên xebitandinê yên sereke pêşkêş dike: skenkirina vigolium - skenkirinek standard a pir-qonaxî bi lêgerîna naverokê, spidering-a gerokê, û vekolîna çalak û pasîf; û ajansa vigolium - moda ajanê-bingeha ku LLM modulan hildibijêre, êrîşan plan dike, dirêjkirinên JavaScript-a xwerû çêdike, û ceribandina dînamîk bi vekolîna koda çavkaniyê re dike yek.

Li gorî pirtûka referansê ya modulê ya heyî, Vigolium dihewîne 251 modulên verastkirinê, ji wan 154 çalak и 97 pasîfModulên çalak daxwazên guherandî dişînin û fuzzing, derzîkirin û analîza tevgerî bikar tînin, di heman demê de modulên pasîf cotên daxwaz/bersiv ên heyî bêyî çêkirina trafîkek zêde analîz dikin.

Taybetmendiyên

  • Skenkirina Xwemalî skenkirinek diyarker a standard e.
    Moda skenkirina Vigolium ji bo kontrolên bilez û dubarekirî hatiye sêwirandin. Ew di çend qonaxan re derbas dibe: berhevkirina daneyên derveyî, kifşkirina naverokê, gerok/spa spidering, û denetim. Ev mod ji bo CI, kontrolên birêkûpêk, û rewşên ku encamên pêşbînîkirî bêyî hewcedariya LLM girîng in rehet e.

  • Skenkirina Ajansê — denetima li ser bingeha ajansê bi LLM re.
    Moda ajansa Vigolium dema xebitandinê ya çêkirî bikar tîne olyûmAjan dikare bi awayekî serbixwe li xalên dawî bigere, modulan hilbijêre, kontrol bike, kodê analîz bike, SAST bimeşîne, û dîtinan ji nû ve kontrol bike. Senaryoyên moda oto-pîlot, Swarm, û Query têne piştgirî kirin: ji şopandina hedefa xweser bigire heya daxwazên yek-carî ji bo nirxandina kodê, lêgerînên xalên dawî, û kifşkirina veşartî.

  • Kontrolên XSS, SQLi, NoSQLi, SSTI, LFI, RCE, XXE û SSRF.
    Referansa modulê kontrolên ji bo XSS-ya nîşankirî, derzîkirina SQL-ya li ser bingeha xeletiyan, SQLi-ya kor a li ser bingeha boolean, derzîkirina NoSQL, derzîkirina şablonê ya server-side, têxistina pelê herêmî, derzîkirina fermanan, XXE, SSRF, û qelsiyên derveyî-bandê navnîş dike. Dîtin li ser pîvanek giraniyê ji krîtîk heta agahdariyê û pîvanek baweriyê ya teqez, sabît, û gumanbar têne nirxandin.

  • OAST ji bo kêmasiyên "kor" kontrol dike.
    Vigolium dikare bi rêya mekanîzmayên vegerandinê, tevî interactsh, ji bo XSS-ya kor, SSRF-ya kor, XXE-ya kor, û RCE-ya kor kontrol bike. Ev ji bo rewşên ku qelsî rasterast di bersiva HTTP-ê de xwe nîşan nade, lê server daxwazek DNS/HTTP-ya derveyî dike an çalakiyek paşxistî pêk tîne, pêdivî ye.

  • Mutasyona bi hişmendiya nirxê, mutasyoneke parametreyan e ku wateya nirxê li ber çavan digire.
    Skaner parametreyan li gorî celebê semantîk dabeş dike: hejmar, UUID, JWT, e-name, û guhertoyên din, û dûv re li gorî çarçoveyê mutasyonan hildibijêre. Divê ev deng li gorî danîna xav a barkirinên wekhev di hemî zeviyan de kêm bike.

  • Piştgiriya ji bo formatên têketinê yên cûda.
    Têketin URL, taybetmendiyên OpenAPI/Swagger, berhevokên Postman, daneyên Burp Suite, cURL, û Nuclei JSONL vedihewîne. URL dikarin bi rêya stdin jî werin şandin û qonaxên skankirinê yên takekesî dikarin werin çalakirin.

  • Skankirina pejirandî û kontrolên IDOR/BOLA.
    Vigolium di heman demê de gelek rûniştinan piştgirî dike: rûniştin dikarin di rêzê de werin derbas kirin, ji pelan werin barkirin, an jî wekî herikînên têketinê yên tevahî bi derxistina nîşanekan werin vegotin. Ev ji bo kontrolên kontrola gihîştinê ya horizontî û vertîkal, di nav de IDOR/BOLA û zêdebûna îmtiyazê tê bikar anîn.

  • Kontrolkirina çarçove û rijandinên tîpîk.
    Lîsteya modulan kontrolên ji bo Next.js, Spring/Java, Django, Flask, FastAPI, Laravel, Symfony, Rails, Express, û ASP.NET/IIS dihewîne. Bo nimûne, ji bo Spring, xalên dawî yên giştî yên Actuator, Spring Boot Admin, Spring Cloud Config, H2 Console, Jolokia, û konsolên servera sepanên Java têne kontrol kirin; ji bo Next.js, derçûn bi rêya /_next/data, SSRF di Image Optimizer de, û derbasbûnên middleware têne kontrol kirin.

  • Dirêjkirinên JavaScript.
    Bikarhêner dikarin modul û çengelên xwe di JavaScriptê de bi karanîna motora JS-ya çêkirî bi API-ya HTTP-ya danişîn-agahdar binivîsin. Sînorkirinek girîng: dirêjkirinên weha dikarin fermanên kêfî bicîh bînin û ne di nav sandboxê de ne, ji ber vê yekê divê ew wekî koda bicîhkirî ya birêkûpêk werin hesibandin.

  • Ji bo encaman qonaxek cuda ya triyajê bikar bînin.
    Di ceribandina ewlehiyê ya bi alîkariya LLM de, pir caran pirsgirêka dîtinên mimkun lê dubarekirî derdikeve holê. Nivîskarê Vigolium triyajê wekî derbasbûnek cuda rave dike: pêşî, skaner namzedan berhev dike, dûv re kontrolek cuda her dîtinê li hember delîlan ji nû ve piştrast dike.

  • Sînorên budceyê ji bo moda ajan.
    Ji bo şopandina li ser bingeha ajan, hûn dikarin nîşanekan, hejmara gazîkirina amûran, hejmara dubarekirinên triyajê, û dema tevahî ya pêkanînê sînordar bikin. Ev ji bo ceribandinên penetrasyonê yên CI û demên sabît girîng e: divê ajan bêdawî armancek tenê "nekole" û budceyê li ser hîpotezên bêkêr bişewitîne.

  • Raport, rêz û pîvandin.
    Native Scan xwedî hewzek karkerên hevdem, sînorkirina rêjeya her mêvandar, rêzek hîbrîd di bîrê de, li ser dîskê, an di Redis de, û raporên HTML-ê yên xweser e. Derana konsol, JSON, û HTML heye.

  • Moda serverê, API, û entegrasyon bi Burp Suite re.
    Vigolium dikare wekî serverek API-yê bixebite, trafîkê qebûl bike, proxy-yek HTTP-ya zelal çalak bike, û bixweber daneyên wergirtî bixwîne. Dirêjkirinek cuda, burp-vigolium, ji bo Burp Suite-ê tê behs kirin, ku dihêle hûn trafîka zindî ji servera Vigolium re bişînin.

  • Maseya Kar û Konsol.
    Ji bilî CLI, proje rave dike Karker - panelek xweser ji bo dîtbarîkirina encaman, birêvebirina projeyan û şopandina dîtinan. konsolê - çînek bazirganî ya li ser ewr ji bo şopandina birêvebirî, raporên navendî, hevkariyê û plansaziya vekolînê.

mîhengê

Proje sazkirinê bi rêya shell script, npm, Docker, Homebrew, Bun, û avakirina ji çavkaniyê pêşkêş dike. Pêdiviyên ji bo avakirina ji çavkaniyê di README de hatine navnîş kirin. Biçe 1.26+ и bun 1.3.11+.

kulm -fsSL https://vigolium.com/install.sh | bash

npm sazkirin -g @vigolium/vigolium

docker pull j3ssie/vigolium:nûtirîn
docker run --rm j3ssie/vigolium:skenkirina herî dawî -h

Pêşdebir bi taybetî hişyar dikin ku Vigolium amûrek ewlehiyê ya êrîşkar e: moda ajanê bêyî sandboxek dixebite û gihîştina tevahî ya shell, pergala pelan û tora mêvandar heye, di heman demê de dirêjkirin jî dikarin fermanên kêfî bicîh bînin. Ji ber vê yekê, tê pêşniyar kirin ku skanên li ser bingeha ajanê di konteynirek yek-bikaranîn an makîneyek virtual de ku bi hawîrdora ceribandina taybetî ve sînorkirî ye, werin meşandin.

Source: linux.org.ru

Ji bo malperên bi parastina DDoS, serverên VPS VDS mêvandariya pêbawer bikirin 🔥 Hostinga malperê ya pêbawer bi parastina DDoS, serverên VPS VDS bikirin | ProHoster