บทความนี้นำเสนอคำแนะนำทีละขั้นตอนในการตั้งค่าและการใช้ Nodejsscan สำหรับ SAST ผู้อ่านจะสามารถทำความคุ้นเคยกับตัวอย่างที่ใช้งานได้จริงของการติดตั้งโปรแกรม
NodejsScan เป็นเครื่องสแกนรหัสแบบคงที่ที่ใช้ในการค้นหาข้อบกพร่องด้านความปลอดภัยในแอปพลิเคชัน node.js ควรเข้าใจอย่างถูกต้องว่า Nodejsscan สำหรับ SAT สามารถใช้งานได้อย่างไรหากจำเป็นต้องเกิดขึ้น
การติดตั้งตั้งค่าและการใช้สแกนเนอร์ nodejsscan- ผู้ใช้ติดตั้ง Postgres และกำหนดค่า (sqlalchemy_database_url) ในหลัก / การตั้งค่า
- ถัดไปมันจะดาวน์โหลดแพ็คเกจ NodejsScan จากที่เก็บ GitHub โดยการเปิดลิงก์นี้
หลังจากนั้นคุณต้องไปที่ไดเร็กทอรี nodejsscan และติดตั้งคอมโพเนนต์ที่จำเป็นทั้งหมดโดยใช้คำสั่ง:
pip3 ติดตั้งข้อกำหนด -r.txt
- คุณต้องดำเนินการคำสั่งนี้ (Python3 Migrate.py) หนึ่งครั้งเพื่อสร้างรายการที่จำเป็นในฐานข้อมูล
- คำสั่ง "Python3 App.py" ดำเนินการเพื่อทดสอบสื่อ
- ติดตั้ง Gunicorn ที่จำเป็นสำหรับการทำงานที่ถูกต้องของ NodeJSScan คุณสามารถใช้คำสั่ง "Gunicorn -b 0.0.0.0.0.0. : 19090 AP: App: App" เป็นสิ่งจำเป็นสำหรับสภาพแวดล้อมการผลิต
เครื่องมือนี้จะเรียกใช้ NodeJSScan ที่: http: //0.0.0: 9090 หากคุณต้องการแก้ไขให้ติดตั้ง debug เป็น "true" ใน core / settings.py ด้วยการอัปเดตเป็นระยะของเครื่องมือนี้ NodejsScan มีจำนวนขั้นต่ำของผลบวกที่ผิดพลาด
อินเทอร์เฟซบรรทัดคำสั่งหรือ "CLI" ช่วยให้เครื่องมือนี้ทำงานร่วมกับระบบปฏิบัติการ DevSecops CI / CD ผลลัพธ์จะถูกนำเสนอต่อผู้ใช้ในรูปแบบ JSON
สามารถกำหนดค่ารูปภาพ Docker สำหรับ NodeJSScan โดยใช้ขั้นตอนต่อไปนี้:
- ก่อนอื่นคุณต้องตรวจสอบให้แน่ใจว่ามีการติดตั้ง Docker เองในระบบ
- ผู้ใช้เปิดใช้งานบริการ Docker โดยใช้คำสั่ง:
บริการ Docker เริ่มต้น
- ถัดไปจะทำคำสั่งต่อไปนี้:
Docker สร้าง -t nodejsscan
- จากนั้นในที่สุดมันจะเข้าสู่คำสั่งนี้เพื่อเรียกใช้แอปพลิเคชัน:
Docker Run -it -p 9090: 9090 NodejsScan
การสาธิตกระบวนการทั้งหมดในตัวอย่างที่ใช้งานได้จริง- ผู้ใช้ทดสอบเครื่องมือนี้บนพื้นที่เก็บข้อมูลที่มีรหัสที่ไม่สมบูรณ์และมีช่องโหว่
- แอปพลิเคชัน NodeJSScan เข้ากันได้กับไฟล์รูปแบบ. zip ที่ถูกโหลดลงในนั้น ดังนั้นคุณต้องบีบอัดรหัส. js ของคุณเป็นครั้งแรกกับไฟล์เก็บถาวร. zip แล้วเปิดเบราว์เซอร์และดาวน์โหลดไฟล์บีบอัด
- หลังจากดาวน์โหลดไฟล์ zip เครื่องมือจะแสดงรายชื่อผู้ใช้ช่องโหว่ทั้งหมด
ผู้เขียนบทความที่แปล: Sudhansu Shekhar
วัสดุที่น่าสนใจมากขึ้นบน cisoclub.ru สมัครสมาชิกกับเรา: Facebook | vk | ทวิตเตอร์ | Instagram โทรเลข เซน | Messenger | ICQ ใหม่ | YouTube | ชีพจร.