Bài viết này trình bày hướng dẫn từng bước để thiết lập và sử dụng Nodejsscan cho Sast. Độc giả sẽ có thể làm quen với ví dụ thực tế về cài đặt chương trình.
Nodejsscan là một trình quét mã tĩnh được sử dụng để tìm kiếm các thiếu sót bảo mật trong các ứng dụng Node.js. Nó phải được hiểu chính xác cách NODEJSScan cho SAT có thể được sử dụng nếu nhu cầu như vậy phát sinh.
Cài đặt, thiết lập và sử dụng máy quét Nodejsscan- Người dùng cài đặt postgres và định cấu hình nó (sqlalchemy_database_url) trong lõi / cài đặt.py
- Tiếp theo, nó tải xuống gói Nodejsscan từ kho lưu trữ GitHub bằng cách bật liên kết này.
Sau đó, bạn cần truy cập thư mục Nodejsscan và cài đặt tất cả các thành phần cần thiết bằng lệnh:
PIP3 Cài đặt -R Yêu cầu.txt
- Bạn phải thực thi lệnh này (python3 migrate.py) một lần để tạo các mục cần thiết trong cơ sở dữ liệu.
- Lệnh "Python3 App.py" được thực hiện để kiểm tra phương tiện.
- Cài đặt Gunicorn cần thiết cho hoạt động chính xác của Nodejsscan, bạn có thể sử dụng lệnh "Gunicorn -b 0.0.0.0.0: 19090 AP: APP: APP". Nó là cần thiết cho môi trường sản xuất.
Công cụ này sẽ chạy nodejsscan tại: http: ///0.0.0: 9090. Nếu bạn cần sửa, hãy cài đặt Gỡ lỗi thành "TRUE" trong Core / Settings.py. Với bản cập nhật định kỳ của công cụ này, Nodejsscan có số lượng dương tính giả tối thiểu.
Giao diện dòng lệnh hoặc "cli" cho phép công cụ này tích hợp với các băng tải CI / CD của Devsecops. Các kết quả sẽ được trình bày cho người dùng ở định dạng JSON.
Hình ảnh Docker có thể được cấu hình cho NodeJSScan bằng các bước sau:
- Đầu tiên, bạn cần đảm bảo rằng bản thân docker được cài đặt trong hệ thống.
- Người dùng khởi chạy dịch vụ Docker bằng lệnh:
Docker dịch vụ bắt đầu.
- Tiếp theo, nó thực hiện lệnh sau:
Docker Build -t nodejsscan
- Sau đó, cuối cùng, nó sẽ nhập lệnh này để chạy ứng dụng:
Docker Run -it -P 9090: 9090 Nodejsscan
Trình diễn toàn bộ quá trình về một ví dụ thực tế- Người dùng đã thử công cụ này trên kho lưu trữ chứa mã không đầy đủ và dễ bị tấn công.
- Ứng dụng Nodejsscan tương thích với các tệp định dạng .zip đã được tải vào nó. Vì vậy, trước tiên bạn cần nén mã .js của mình vào kho lưu trữ .zip, sau đó mở trình duyệt và tải xuống tệp nén.
- Sau khi tải xuống tệp ZIP, công cụ sẽ hiển thị cho người dùng danh sách tất cả các lỗ hổng.
Tác giả của bài viết dịch: sudhansu shekhar.
Tài liệu thú vị hơn trên Cisoclub.ru. Theo dõi chúng tôi: Facebook | Vk |. Twitter |. Instagram |. Telegram |. Zen |. Messenger |. ICQ mới |. YouTube |. Xung.