Güvenlik ekipleri uygulama kusurlarının en kötü zamanda ortaya çıkma eğiliminde olduğunu biliyor. Strix, insan saldırganlar gibi davranan otonom ajanları kullanarak onları daha erken yakalamanın açık kaynaklı bir yolu olarak kendini sunuyor. Bu aracılar kodu çalıştırır, bir uygulamayı keşfeder, zayıf yönleri ortaya çıkarır ve bu bulguları kavramların çalışan kanıtlarıyla kanıtlar.
Strix, hacker tarzı bir araç setini tek başına veya gruplar halinde çalışabilen otomatik bir sisteme paketliyor. Temsilcileri birlikte çalışır ve bir uygulamada ilerledikçe görevlerini ayarlar. Her biri farklı beceriler getiriyor ve platform, öğrendiklerini paylaşabilmeleri için çalışmalarını düzenliyor.
Sistem, bir HTTP proxy aracılığıyla istek ve yanıt manipülasyonunu gerçekleştirir, XSS veya CSRF gibi istemci tarafı yollarını keşfetmek için bir tarayıcıyı çalıştırır, komut testleri için terminal oturumlarını başlatır ve özel istismar geliştirme için bir Python ortamı sunar. Ayrıca açığa çıkan varlıkları tarayarak ve saldırı yüzeylerini haritalayarak keşif gerçekleştirir. Kod analizi hem statik hem de dinamik incelemeler için hazırlanır ve bulgular, ekiplerin bir saldırı dizisi sırasında ne olduğunu takip etmesine yardımcı olacak şekilde yapılandırılmış bir formatta saklanır.
Tespit kapsamı, erişim kontrolü kusurları, çoklu enjeksiyon biçimleri, sunucu tarafı zayıflıkları, prototip kirliliği ve DOM sorunları dahil istemci tarafı sorunları, yarış koşulları gibi iş mantığı hataları ve bozuk oturum yönetimi veya JWT zayıflıkları gibi kimlik doğrulama sorunları gibi ortak kategorileri kapsar. Sistem ayrıca altyapıdaki yanlış yapılandırmaları veya açığa çıkan hizmetleri de tespit edebilir.
Strix, aracıları iş akışlarına göre düzenleyen bir grafik modeli kullanır. Platform, uzman temsilcileri farklı hedeflere atar ve ardından görevlerini paralel olarak yürütür. Temsilciler yeni bilgiler keşfettikçe diğerleri yeni yollar keşfetmek için çalışmalarını ayarlar. Bu, daha kısa bir pencerede test kapsamını genişletmek için tasarlanmıştır.
Ekipler, uygulamalarında yüksek riskli güvenlik açıklarını bulmak ve doğrulamak, daha sıkı bir programla sızma testi tarzı değerlendirmeler yürütmek, hata ödül tarzı araştırmayı otomatikleştirmek ve daha fazlası için Strix’i kullanabilir. Aracın raporları, kusuru tetiklemek için kullanılan kavramın tam kanıtını işaret ederek iyileştirmeye rehberlik etmeyi amaçlamaktadır.
Strix, GitHub’da ücretsiz olarak mevcuttur.
Okumalısınız:
Temel açık kaynaklı siber güvenlik araçları hakkında bilgi sahibi olmak için Help Net Security’nin reklamsız aylık bültenine abone olun. Buradan abone olun!