НОВЫЙ РЕЛИЗ ПЛАТФОРМЫ СТИНГРЕЙ 2022.12

8.02.2023 | Новости

Вышел новый релиз платформы Стингрей.

Стингрей – платформа автоматизированного анализа защищённости мобильных приложений. Выявляет более 60 типов уязвимостей в iOS и Android приложениях. Снижает затраты на устранение проблем безопасности за счет автоматизации.

Демонстрация изменений нового релиза:

[Новая функциональность]

— Android. Возможность запуска Appium-скриптов в качестве тест-кейсов при автоматическом сканировании

— Android. Новый модуль по анализу корректности использования механизмов шифрования. Новые уязвимости:

  • Слабый или устаревший алгоритм шифрования
  • Простой вектор инициализации
  • Слабый ключ шифрования
  • Неверные параметры для алгоритма генерации ключа
  • Использован уязвимый алгоритм хеширования
  • Использована соль с низкой энтропией
  • Возможно использовано слово как значение соли

— Android. В перехват сетевого трафика добавлена возможность перехвата сообщений WebSocket:

  • Новая уязвимость «Включение sensitive-информации в сообщения WebSocket»

— iOS. Добавление нового модуля интерактивного анализа (IAST) в сканирование iOS. Реализация Taint-анализа в динамике. Добавление новой уязвимости:

  • Возможность открытия произвольной URL в WebView

— iOS. Дамп расшифрованного бинарного файла из памяти с устройства и анализ его содержимого на предмет чувствительной информации. Добавление новой уязвимости

  • Хранение чувствительной информации в бинарном файле

— iOS. Возможность создания автоматического тест-кейса для iOS-приложений.

  • Запись тестового сценария без необходимости написания кода
  • Запись видео тестового сценария

— iOS. Поддержка автоматического сканирования с использованием записанных ранее тестовых сценариев.

— Новые стандарты для проверки соответствий требованиям:

  • PCI DSS 4.0
  • PCI Software Security Framework
  • ОУД4
  • ГОСТ-57580

— Интеграция с магазинами приложений:

  • Apple AppStore
  • Google Play
  • RuStore

— Автоматическая загрузка приложений для сканирования или записи тестовых сценариев напрямую из магазинов приложений

— Мониторинг новых версий приложений из магазинов приложений и автоматический запуск сканирования

— Полностью переработана архитектура и дизайн UI

  • Улучшена визуальная составляющая и пользовательский путь
  • Переработана структура таблиц, фильтров, пагинации
  • Добавлено сохранение фильтров при переходах между страницами
  • Существенно оптимизирована скорость работы и загрузки страниц и данных
  • Добавлены вкладки «Сканирования», «Тест-кейсы», «Интеграции» на страницу «Проект»

[Доработки текущей функциональности]

— Улучшен поиск уязвимости «Возможное выполнение произвольного кода»

— Улучшение методов обхода проверок на эмулятор

— Новый алгоритм работы Taint-анализа для Android, добавление определения новых уязвимостей и валидация ложных срабатываний:

  • Возможность опосредованного запуска приватных Activity
  • Возможность запуска произвольного кода
  • Возможность доступа к произвольному файлу через loadDataWithBaseURL
  • Возможность посылки произвольного широковещательного сообщения через Intent
  • Возможность запуска произвольного Service через Intent
  • Возможность запуска произвольной Activity через Intent

— Получение иконок из aab и zip

— Уточнение работы энтропийного анализа

— Автоматическое создание профиля для любого проекта при старте сканирования

— Настройка времени жизни сессии через переменные окружения

— Исключена нетехническая информация из отчета по сканированию

[Bugfix]

— Некорректное определение дефекта «Небезопасная конфигурация сетевого взаимодействия»

— Автоматическое создание проекта и профиля для разных архитектур с одинаковым именем пакета

— Игнорирование настройки логина и пароля для контейнера NEO4J

— Ошибки при загрузке файлов с Uppercase расширением

— Отображение информации в дефектах

[Supporting Features]

— Автоматическое создание проекта и профиля при запуске сканирования через CLI

— Интеграция с DefectDojo (https://github.com/Swordfish-Security/stingray-defectdojo)

— Поддержка Nexus2 в качестве системы дистрибуции при запуске сканирования через CLI

Видео демонстрации платформы.

Подпишитесь на telegram канал