Сегодня состоялся релиз новой версии системы «Стингрей» — 2.3. Основные изменения:

Новая функциональность:

  • Добавление возможности изменения и управления парольной политикой.
  • Реализация механизма Captcha и изменение логики работы аутентификации.
  • Добавление возможности скачивания лога сканирования из интерфейса приложения.
  • Добавлена возможность отмены сканирования в любой момент жизненного цикла сканирования.
  • Реализовано автоматическое определение корректности запуска приложения перед сканированием или записью тестового сценария.
  • Реализовано автоматическое закрытие всплывающих окон перед запуском процесса сканирования или записи тестовых сценариев.
  • Фильтрация списка архитектур доступных для выбора при сканировании и записи тестовых сценариев по активным сканирующим агентам.
  • При уходе со страницы сканирования реализован возврат к экрану сканирования или записи тесткейса.
  • Выгрузка результатов модуля сетевой активности в формате HAR для возможности загрузки в инструменты динамического анализа.
  • Реализован механизм загрузки результатов непосредственно со страницы выявленной уязвимости.
  • Возможность просмотреть уязвимости на основе которых был найден дефект “Хранение ранее найденной чувствительной информации”.
  • Добавлены настройки модулей: SAST,  Networking, поиск чувствительной информации.
  • Добавлена возможность скачивать PDF отчет по конкретной уязвимости.
  • Добавлена двухфакторная аутентификация при помощи Google Authenticator.
  • Добавлена возможность удаления сканирований.
  • Добавлена возможность скачивания проанализированного приложения.
  • Добавлена возможность завершения записи тесткейса из таблицы со списком тесткейсов.
  • В API добавлена возможность фильтрации уязвимостей при попадании в отчет.
  • В API добавлен механизм управления сканирующими агентами.
  • В API добавлена возможность обновления файла /etc/hosts на сканирующих агентах.
  • В случае, если приложение завершило работу аварийно — производится поиск дефектов по тем данным, что удалось собрать.

Новые уязвимости:

  • [iOS] Наличие Podfile в собранном пакете приложения.
  • [iOS] Наличие скриптов сборки в собранном пакете приложения.
  • [Android][iOS] Поиск ключей/сертификатов в ресурсах и файлах приложения (публичных, приватных, ключевых хранилищ и т.д.).
  • [Android] Поиск значений Cookie в стандартных базах WebView.
  • [Android] Поиск чувствительных данных в кэше клавиатуры.

 

Так же был доработан ряд функций и исправлены найденные дефекты. Подробно список изменений можно посмотреть в описании релизов.