НОВЫЙ РЕЛИЗ ПЛАТФОРМЫ СТИНГРЕЙ 2022.12

8.02.2023 | Новости

Вышел новый релиз платформы Стингрей.

Стингрей – платформа автоматизированного анализа защищённости мобильных приложений. Выявляет более 60 типов уязвимостей в iOS и Android приложениях. Снижает затраты на устранение проблем безопасности за счет автоматизации.

Демонстрация изменений нового релиза:

[Новая функциональность]

— Android. Возможность запуска Appium-скриптов в качестве тест-кейсов при автоматическом сканировании

— Android. Новый модуль по анализу корректности использования механизмов шифрования. Новые уязвимости:

  • Слабый или устаревший алгоритм шифрования
  • Простой вектор инициализации
  • Слабый ключ шифрования
  • Неверные параметры для алгоритма генерации ключа
  • Использован уязвимый алгоритм хеширования
  • Использована соль с низкой энтропией
  • Возможно использовано слово как значение соли

— Android. В перехват сетевого трафика добавлена возможность перехвата сообщений WebSocket:

  • Новая уязвимость «Включение sensitive-информации в сообщения WebSocket»

— iOS. Добавление нового модуля интерактивного анализа (IAST) в сканирование iOS. Реализация Taint-анализа в динамике. Добавление новой уязвимости:

  • Возможность открытия произвольной URL в WebView

— iOS. Дамп расшифрованного бинарного файла из памяти с устройства и анализ его содержимого на предмет чувствительной информации. Добавление новой уязвимости

  • Хранение чувствительной информации в бинарном файле

— iOS. Возможность создания автоматического тест-кейса для iOS-приложений.

  • Запись тестового сценария без необходимости написания кода
  • Запись видео тестового сценария

— iOS. Поддержка автоматического сканирования с использованием записанных ранее тестовых сценариев.

— Новые стандарты для проверки соответствий требованиям:

  • PCI DSS 4.0
  • PCI Software Security Framework
  • ОУД4
  • ГОСТ-57580

— Интеграция с магазинами приложений:

  • Apple AppStore
  • Google Play
  • RuStore

— Автоматическая загрузка приложений для сканирования или записи тестовых сценариев напрямую из магазинов приложений

— Мониторинг новых версий приложений из магазинов приложений и автоматический запуск сканирования

— Полностью переработана архитектура и дизайн UI

  • Улучшена визуальная составляющая и пользовательский путь
  • Переработана структура таблиц, фильтров, пагинации
  • Добавлено сохранение фильтров при переходах между страницами
  • Существенно оптимизирована скорость работы и загрузки страниц и данных
  • Добавлены вкладки «Сканирования», «Тест-кейсы», «Интеграции» на страницу «Проект»

[Доработки текущей функциональности]

— Улучшен поиск уязвимости «Возможное выполнение произвольного кода»

— Улучшение методов обхода проверок на эмулятор

— Новый алгоритм работы Taint-анализа для Android, добавление определения новых уязвимостей и валидация ложных срабатываний:

  • Возможность опосредованного запуска приватных Activity
  • Возможность запуска произвольного кода
  • Возможность доступа к произвольному файлу через loadDataWithBaseURL
  • Возможность посылки произвольного широковещательного сообщения через Intent
  • Возможность запуска произвольного Service через Intent
  • Возможность запуска произвольной Activity через Intent

— Получение иконок из aab и zip

— Уточнение работы энтропийного анализа

— Автоматическое создание профиля для любого проекта при старте сканирования

— Настройка времени жизни сессии через переменные окружения

— Исключена нетехническая информация из отчета по сканированию

[Bugfix]

— Некорректное определение дефекта «Небезопасная конфигурация сетевого взаимодействия»

— Автоматическое создание проекта и профиля для разных архитектур с одинаковым именем пакета

— Игнорирование настройки логина и пароля для контейнера NEO4J

— Ошибки при загрузке файлов с Uppercase расширением

— Отображение информации в дефектах

[Supporting Features]

— Автоматическое создание проекта и профиля при запуске сканирования через CLI

— Интеграция с DefectDojo (https://github.com/Swordfish-Security/stingray-defectdojo)

— Поддержка Nexus2 в качестве системы дистрибуции при запуске сканирования через CLI

Видео демонстрации платформы.

Подпишитесь на telegram канал
НОВЫЙ РЕЛИЗ ПЛАТФОРМЫ СТИНГРЕЙ 2023.6

НОВЫЙ РЕЛИЗ ПЛАТФОРМЫ СТИНГРЕЙ 2023.6

Вышел новый релиз платформы Стингрей. Стингрей – платформа автоматизированного анализа защищённости мобильных приложений. Выявляет более 60 типов уязвимостей в iOS и...

Как не потерять всё при разработке мобильных приложений — эксперт Стингрей Технолоджиз расскажет на TECH WEEK

Как не потерять всё при разработке мобильных приложений — эксперт Стингрей Технолоджиз расскажет на TECH WEEK

28 июня в 11:00 мск Юрий Шабалин, генеральный директор Стингрей Технолоджиз выступит на TECH WEEK, крупнейшей конференции, посвященной инновационным технологиям,...

Эксперт Стингрей Технолоджиз развеет мифы о безопасности мобильных приложений на конференции Mobius

Эксперт Стингрей Технолоджиз развеет мифы о безопасности мобильных приложений на конференции Mobius

12 мая 2023 года в 10:30 мск Юрий Шабалин, генеральный директор Стингрей Технолоджиз, выступит на технической конференции для мобильных разработчиков Mobius. Эксперт...