洞态自发布以来,版本一直保持着两周一次的迭代速度。本周,我们很高兴向大家介绍洞态 v1.1.3 版本。此版本重在增强敏感信息检测能力与提升用户的使用体验,本次版本重点更新内容如下:
- 增强敏感信息检测能力
- 新增策略模版管理功能
- 新增“关于洞态”页面
- 新增Agent主动验证的关闭功能
- 优化项目配置
- 优化组件管理功能
01 增强敏感信息检测能力
- 支持 HTTP 请求中请求参数
- 请求体和响应体的检测
使用场景
根据《个人金融信息保护技术规范》要求,C3 以上级别的数据,在进行传输时,需要进行加密处理,包括手机号、密码、身份证号等;不同行业都需要关注敏感数据是否会通过接口、页面等泄漏。
如果需要检查手机号是否明文传输、身份证号是否明文传输、银行卡号是否直接通过接口输出等,可通过该功能,快速排查以上场景。
02 新增策略模板管理功能
使用场景
//场景一:
需求:某互联网公司 A,11月份目标为重点收敛 注入类型 漏洞,因此想在洞态 IAST 中新增 注入类漏洞收敛计划 的策略模版,将所有的注入类漏洞的检测策略全部添加。
做法:在新建项目时,制定策略模版 注入类漏洞收敛计划,即可实现只检测注入类漏洞,实现漏洞的检测与收敛。
//场景二:
需求:12月份,临近年底,A 公司需要重点排查和解决