Denne artikkelen presenterer en trinnvis veiledning for å sette opp og bruke Nodejsscan til SAST. Leserne vil kunne gjøre seg kjent med det praktiske eksempelet på programinstallasjonen.
Nodejsscan er en statisk kodeskanner som brukes til å søke etter sikkerhetsmangler i node.js-applikasjoner. Det bør forstås nøyaktig hvordan Nodejsscan for SATS kan brukes dersom et slikt behov oppstod.
Installasjon, oppsett og bruk av Nodejsscan-skanner- Brukeren installerer Postgres og konfigurerer den (SQLALChemy_Database_URL) i Core / Setting.py
- Deretter laster den ned Nodejsscan-pakken fra GitHub-depotet ved å slå på denne lenken.
Deretter må du gå til Nodejsscan-katalogen og installere alle nødvendige komponenter ved hjelp av kommandoen:
Pip3 installere -R krav.txt
- Du må utføre denne kommandoen (Python3 Migrate.py) en gang for å opprette de nødvendige oppføringene i databasen.
- Kommandoen "Python3 App.py" utføres for å teste mediet.
- Installer Gunicorn som kreves for riktig drift av Nodejsscan, kan du bruke "Gunicorn -B 0.0.0.0.0: 19090 AP: App: App" -kommandoen. Det er nødvendig for produksjonsmiljøet.
Dette verktøyet vil kjøre Nodejsscan på: http: //0.0.0: 9090. Hvis du trenger å fikse, installer debuggen til "True" i kjernen / innstillinger.py. Med den periodiske oppdateringen av dette verktøyet har Nodejsscan et minimum antall falske positiver.
Kommandolinjegrensesnitt eller "CLI" gjør det mulig for dette verktøyet å integrere med Devsecops CI / CD-transportører. Resultatene vil bli presentert for brukeren i JSON-format.
Docker-bilder kan konfigureres for Nodejsscan ved hjelp av følgende trinn:
- Først må du sørge for at dockeren selv er installert i systemet.
- Brukeren lanserer Docker-tjenesten ved hjelp av kommandoen:
Service Docker Start.
- Deretter utfører den følgende kommando:
Docker Build -T Nodejsscan
- Deretter kommer den til slutt denne kommandoen for å kjøre applikasjonen:
Docker Run -It -P 9090: 9090 Nodejsscan
Demonstrasjon av hele prosessen på et praktisk eksempel- Brukeren testet dette verktøyet på et depot som inneholder ufullstendig og sårbar kode.
- Nodejsscan-programmet er kompatibelt med .ZIP-formatfilene som er lastet inn i det. Så må du først komprimere din .js-koden til .ziparkivet, og åpne deretter nettleseren og laste ned en komprimert fil.
- Etter at du har lastet ned zip-filen, vil verktøyet vise brukeren en liste over alle sårbarheter.
Forfatteren av den oversatte artikkelen: Sudhansu Shekhar.
Mer interessant materiale på cisoclub.ru. Abonner på oss: Facebook | VK |. Twitter | Instagram |. Telegram | Zen | Messenger | ICQ Ny | YouTube | Puls.