Первое знакомство с FAST
Об облаках Валарм
FAST может взаимодействовать с одним из нескольких доступных облаков Валарм.
Вся содержащаяся в документации информация применима в равной степени ко всем облакам, если не указано иное.
Для упрощения в документации предполагается, что FAST использует американское облако Валарм. Если нужно использовать другое облако, задайте соответствующие ему адреса портала Валарм или API-сервера.
При первом логине на портал Валарм вам будет предложено познакомиться с FAST за пять шагов.
Управление процессом знакомства
Вы в любой момент можете прервать процесс знакомства, нажав на кнопку ✕. Вам будет предложено:
Прекратить знакомство.
При необходимости вы сможете запустить знакомство заново. Для этого нажмите на вопросительный знак в верхнем правом углу портала Валарм и выберите пункт «FAST in 5 minutes» в появившейся боковой панели:
Продолжить знакомство позднее с того же шага, на котором вы остановились.
Если вы хотите продолжить отложенное знакомство с FAST, нажмите на кнопку «FAST in 5 minutes» в правом нижнем углу портала Валарм:
Чтобы пройти знакомство с FAST:
Прочитайте общую информацию о FAST:
Нажмите на кнопку «Deploy FAST Node →», чтобы перейти к следующему шагу.
Разверните Docker-контейнер с FAST-нодой на вашей машине, скопировав и выполнив предоставленную команду
docker run. В команде уже заданы все необходимые параметры:
Установка Docker
Если у вас не установлен Docker, установите любую его редакцию: Community Edition или Enterprise Edition.
После запуска FAST-нода будет слушать входящие соединения на
127.0.0.1:8080.
Настройте любой другой браузер, в котором не открыт портал Валарм, на вашей машине на использование HTTP-прокси
127.0.0.1:8080. Рекомендуем использовать Mozilla Firefox (инструкция по настройке прокси в Firefox):
Использование другого порта
Если на вашей машине порт
8080занят, или вы не хотите его использовать, измените параметр-pв командеdocker run, чтобы использовать другой порт. Например, чтобы использовать порт9090, запустите команду с параметром:-p 9090:8080.Нажмите на кнопку «Create a Test Run →», чтобы перейти к следующему шагу.
Создайте тест безопасности с любым именем, нажав на ссылку «Инициируйте запуск тестов».
При создании теста безопасности используйте указанные в подсказке значения «default policy» (политики тестирования по умолчанию) и «node» (ноды):
Запустите тест безопасности, нажав на кнопку «Создать и запустить».
Нажмите на кнопку «Discover Vulnerabilities →», чтобы перейти к следующему шагу.
Убедитесь, что в консоли FAST-ноды выводится сообщение
Recording baselines for TestRun...:
Затем отправьте запрос к уязвимому веб-приложению Google Gruyere, чтобы FAST начал тестировать приложение на уязвимости.
Для этого скопируйте HTTP-запрос, указанный в подсказке, и выполните его с помощью браузера, который использует FAST-ноду в качестве прокси:
После отправки запроса остановите процесс записи запросов, выбрав в выпадающем меню справа от теста безопасности пункт «Остановить запись». Подтвердите действие, нажав на кнопку «Да»:
Дождитесь окончания процесса тестирования. FAST должен обнаружить XSS-уязвимости в Google Gruyere. В столбце «Результаты» будет указан идентификатор обнаруженной уязвимости и ее тип:
Исследование уязвимости
Вы можете кликнуть по значению в столбце «Результаты», чтобы получить более подробную информацию об уязвимости:
Нажмите на кнопку «Run With It!», чтобы перейти к следующему шагу.
Вы успешно завершили знакомство с FAST и обнаружили с его помощью уязвимости в веб-приложении Google Gruyere.
Перейдите к руководству «Быстрый старт» для получения более подробных сведений о начале работы с FAST.
Нажмите на кнопку «Finish» для завершения знакомства с FAST.
results matching ""
No results matching ""
results matching ""
No results matching ""