ProHoster > BLOGLAR > internet haberleri > Vigolium v0.1.13-beta

Vigolium v0.1.13-beta

İlk kamuoyu duyurusu yayınlandı. Vigolium v0.1.13-beta — Klasik deterministik taramayı LLM tabanlı ajan tabanlı denetimle birleştiren, web uygulamaları için bir güvenlik açığı tarayıcısı. Proje GitHub'da mevcuttur ve bir lisans altında dağıtılmaktadır. GNU AGPLv3Ticari kısım buluta taşındı. Bulut KonsoluTarayıcı çekirdeği açık olarak bildirilirken.

Vigolium iki ana çalışma modu sunar: vigolium scan—içerik araması, tarayıcı örümcek taraması ve aktif ve pasif denetim içeren standart çok aşamalı bir tarama; ve vigolium agent—LLM'nin modülleri seçtiği, saldırıları planladığı, özel JavaScript uzantıları oluşturduğu ve dinamik testleri kaynak kod denetimiyle birleştirdiği ajan tabanlı bir mod.

Göre mevcut modül referans kitabıVigolium şunları içerir: 251 doğrulama modülüonlardan 154 aktif и 97 pasifAktif modüller değiştirilmiş istekler gönderir ve bulanıklaştırma, enjeksiyon ve davranışsal analiz yöntemlerini kullanırken, pasif modüller ek trafik oluşturmadan mevcut istek/yanıt çiftlerini analiz eder.

fırsatlar

  • Native Scan, standart bir deterministik tarama yöntemidir.
    Vigolium tarama modu, hızlı ve tekrarlanabilir kontroller için tasarlanmıştır. Harici veri toplama, içerik keşfi, tarayıcı/SPA taraması ve denetim olmak üzere çeşitli aşamalardan geçer. Bu mod, sürekli entegrasyon (CI), düzenli kontroller ve LLM'ye ihtiyaç duymadan öngörülebilir sonuçların önemli olduğu durumlar için uygundur.

  • Agentic Scan — LLM ile ajan tabanlı denetim.
    Vigolium ajan modu, yerleşik çalışma zamanını kullanır. yağAjan, bağımsız olarak uç noktaları arayabilir, modülleri seçebilir, kontroller çalıştırabilir, kodu analiz edebilir, SAST çalıştırabilir ve bulguları yeniden kontrol edebilir. Otonom hedef taramasından, kod incelemesi, uç nokta aramaları ve gizli bilgi keşfi için tek seferlik isteklere kadar, Otomatik Pilot, Sürü ve Sorgu modu senaryoları desteklenmektedir.

  • XSS, SQLi, NoSQLi, SSTI, LFI, RCE, XXE ve SSRF güvenlik açıklarını kontrol eder.
    Modül referans listesi, yansıtmalı XSS, hata tabanlı SQL enjeksiyonları, mantıksal tabanlı kör SQL enjeksiyonları, NoSQL enjeksiyonları, sunucu tarafı şablon enjeksiyonu, yerel dosya dahil etme, komut enjeksiyonu, XXE, SSRF ve bant dışı güvenlik açıkları için kontrolleri listeler. Bulgular, kritik ile bilgi arasında bir ciddiyet ölçeğinde ve kesin, sağlam ve geçici olmak üzere bir güven ölçeğinde derecelendirilir.

  • OAST, "kör" güvenlik açıklarını kontrol eder.
    Vigolium, interactsh dahil olmak üzere geri çağırma mekanizmaları aracılığıyla kör XSS, kör SSRF, kör XXE ve kör RCE açıklarını kontrol edebilir. Bu, güvenlik açığının doğrudan HTTP yanıtında kendini göstermediği, ancak sunucunun harici bir DNS/HTTP isteği yaptığı veya ertelenmiş bir işlem gerçekleştirdiği durumlarda gereklidir.

  • Değer odaklı mutasyon, değerin anlamını dikkate alan parametre mutasyonudur.
    Tarayıcı, parametreleri anlamsal türe göre sınıflandırır: sayı, UUID, JWT, e-posta ve diğer varyantlar; ardından bağlama göre mutasyonları seçer. Bu, tüm alanlara aynı yüklerin kaba bir şekilde eklenmesine kıyasla gürültüyü azaltmalıdır.

  • Farklı giriş formatları için destek.
    Girişler arasında URL'ler, OpenAPI/Swagger spesifikasyonları, Postman koleksiyonları, Burp Suite verileri, cURL ve Nuclei JSONL yer almaktadır. URL'ler ayrıca stdin üzerinden de iletilebilir ve ayrı ayrı tarama aşamaları tetiklenebilir.

  • Kimlik doğrulamalı tarama ve IDOR/BOLA kontrolleri.
    Vigolium, aynı anda birden fazla oturumu destekler: oturumlar satır içi olarak iletilebilir, dosyalardan yüklenebilir veya belirteç çıkarımıyla tam oturum açma akışları olarak tanımlanabilir. Bu, IDOR/BOLA ve ayrıcalık yükseltme dahil olmak üzere yatay ve dikey erişim kontrolü denetimleri için kullanılır.

  • Çerçeveleri ve tipik güvenlik açıklarını kontrol etme.
    Modül listesi Next.js, Spring/Java, Django, Flask, FastAPI, Laravel, Symfony, Rails, Express ve ASP.NET/IIS için kontroller içermektedir. Örneğin, Spring için genel Actuator uç noktaları, Spring Boot Admin, Spring Cloud Config, H2 Console, Jolokia ve Java uygulama sunucusu konsolları kontrol edilir; Next.js için ise /_next/data üzerinden sızıntılar, Image Optimizer'daki SSRF ve ara katman yazılımı atlamaları kontrol edilir.

  • JavaScript uzantıları.
    Kullanıcılar, oturum tabanlı HTTP API'sine sahip yerleşik JS motorunu kullanarak JavaScript ile kendi modüllerini ve hook'larını yazabilirler. Önemli bir sınırlama: Bu tür uzantılar rastgele komutlar çalıştırabilir ve korumalı alanda çalışmazlar, bu nedenle normal çalıştırılabilir kod olarak ele alınmalıdırlar.

  • Sonuçlar için ayrı bir ön değerlendirme aşaması.
    LLM destekli güvenlik testlerinde, makul ancak tekrarlanabilir olmayan bulgular sorunu sıklıkla ortaya çıkar. Vigolium'un yazarı, eleme işlemini ayrı bir aşama olarak tanımlar: önce tarayıcı adayları toplar, ardından ayrı bir kontrol her bulguyu kanıtlarla karşılaştırarak yeniden doğrular.

  • Temsilci modu için bütçe sınırları.
    Ajan tabanlı tarama için, belirteç sayısını, araç çağrılarının sayısını, önceliklendirme yinelemelerinin sayısını ve toplam yürütme süresini sınırlayabilirsiniz. Bu, sürekli entegrasyon (CI) ve sabit süreli sızma testleri için önemlidir: ajan, tek bir hedefi sonsuza dek "kazmamalı" ve faydasız hipotezler için bütçeyi tüketmemelidir.

  • Raporlar, kuyruk ve ölçeklendirme.
    Native Scan, eş zamanlı çalışan havuzu, sunucu başına hız sınırlaması, bellekte, diskte veya Redis'te hibrit kuyruk ve bağımsız HTML raporları özelliklerine sahiptir. Konsol, JSON ve HTML çıktısı mevcuttur.

  • Sunucu modu, API ve Burp Suite ile entegrasyon.
    Vigolium, API sunucusu olarak çalışabilir, trafiği kabul edebilir, şeffaf bir HTTP proxy'si sağlayabilir ve alınan verileri otomatik olarak tarayabilir. Burp Suite için ayrı bir eklenti olan burp-vigolium'dan bahsediliyor ve bu eklenti, canlı trafiği Vigolium sunucusuna göndermenizi sağlıyor.

  • Çalışma Tezgahı ve Konsol.
    CLI'ya ek olarak, proje şunları açıklamaktadır: Tezgâh — Sonuçları görselleştirmek, projeleri yönetmek ve bulguları takip etmek için kullanılan, kendi sunucunuzda barındırabileceğiniz bir kontrol paneli. konsolos — Yönetilen tarama, merkezi raporlama, iş birliği ve denetim planlaması için bulut tabanlı ticari bir katman.

Montaj

Proje, shell script, npm, Docker, Homebrew, Bun ve kaynak koddan derleme yoluyla kurulum imkanı sunmaktadır. Kaynak koddan derleme için gerekenler README dosyasında listelenmiştir. 1.26+'e gidin и çörek 1.3.11+.

curl -fsSL https://vigolium.com/install.sh | bash

npm install -g @vigolium/vigolium

docker pull j3ssie/vigolium:latest
docker run --rm j3ssie/vigolium:latest scan -h

Geliştiriciler özellikle Vigolium'un saldırgan bir güvenlik aracı olduğu konusunda uyarıda bulunuyor: ajan modu bir sanal alan olmadan çalışır ve kabuğa, dosya sistemine ve ana bilgisayar ağına tam erişime sahiptir; uzantılar ise rastgele komutlar da çalıştırabilir. Bu nedenle, ajan tabanlı taramaların, belirli test ortamıyla sınırlı, tek kullanımlık bir konteyner veya sanal makinede çalıştırılması önerilir.

Kaynak: linux.org.ru

DDoS korumalı siteler, VPS VDS sunucuları için güvenilir hosting satın alın 🔥 DDoS korumalı, güvenilir VPS ve VDS sunucu barındırma hizmeti satın alın | ProHoster