Сегодня состоялся релиз новой версии системы «Стингрей» — 2.3. Основные изменения:
Новая функциональность:
- Добавление возможности изменения и управления парольной политикой.
- Реализация механизма Captcha и изменение логики работы аутентификации.
- Добавление возможности скачивания лога сканирования из интерфейса приложения.
- Добавлена возможность отмены сканирования в любой момент жизненного цикла сканирования.
- Реализовано автоматическое определение корректности запуска приложения перед сканированием или записью тестового сценария.
- Реализовано автоматическое закрытие всплывающих окон перед запуском процесса сканирования или записи тестовых сценариев.
- Фильтрация списка архитектур доступных для выбора при сканировании и записи тестовых сценариев по активным сканирующим агентам.
- При уходе со страницы сканирования реализован возврат к экрану сканирования или записи тесткейса.
- Выгрузка результатов модуля сетевой активности в формате HAR для возможности загрузки в инструменты динамического анализа.
- Реализован механизм загрузки результатов непосредственно со страницы выявленной уязвимости.
- Возможность просмотреть уязвимости на основе которых был найден дефект “Хранение ранее найденной чувствительной информации”.
- Добавлены настройки модулей: SAST, Networking, поиск чувствительной информации.
- Добавлена возможность скачивать PDF отчет по конкретной уязвимости.
- Добавлена двухфакторная аутентификация при помощи Google Authenticator.
- Добавлена возможность удаления сканирований.
- Добавлена возможность скачивания проанализированного приложения.
- Добавлена возможность завершения записи тесткейса из таблицы со списком тесткейсов.
- В API добавлена возможность фильтрации уязвимостей при попадании в отчет.
- В API добавлен механизм управления сканирующими агентами.
- В API добавлена возможность обновления файла /etc/hosts на сканирующих агентах.
- В случае, если приложение завершило работу аварийно — производится поиск дефектов по тем данным, что удалось собрать.
Новые уязвимости:
- [iOS] Наличие Podfile в собранном пакете приложения.
- [iOS] Наличие скриптов сборки в собранном пакете приложения.
- [Android][iOS] Поиск ключей/сертификатов в ресурсах и файлах приложения (публичных, приватных, ключевых хранилищ и т.д.).
- [Android] Поиск значений Cookie в стандартных базах WebView.
- [Android] Поиск чувствительных данных в кэше клавиатуры.
Так же был доработан ряд функций и исправлены найденные дефекты. Подробно список изменений можно посмотреть в описании релизов.
