關于Stacs
Stacs一款功能強大的靜態令牌和憑證掃描工具,本質上來說,Stacs是一個基于YARA的靜態憑證掃描工具,該工具支持二進制文件格式、嵌套文檔分析、可組合規則集和忽略列表以及SARIF報告。
當前版本的Stacs支持tarballs、gzip、bzips、zips、7z、iso、rpm和xz文件的遞歸解包。由于Stacs處理的是它所檢測到的文件類型,而不是文件名,因此該工具將自動支持基于這些類型的適當文件格式,例如Docker鏡像、Android APK和Java JAR文件。
Stacs的適用人群
Stacs可以為任何需要涉及到二進制文件的安全團隊提供幫助,因為Stacs可以為開發人員提供自動檢查目標代碼版本中是否意外包含靜態憑據和敏感數據的能力。
然而,這并不意味著Stacs不適用于Saas應用層序、企業軟件或者產品源代碼。比如說,我們可以使用Stacs在上傳到公共或私有容器的Docker鏡像中尋找靜態憑證。除此之外,我們還可以通過Stacs搜索意外編譯到可執行文件、移動設備軟件包和“企業文檔”(如Java應用程序服務器使用的文檔)中的憑據。
工具使用
使用Stacs最簡單的方法就是通過Docker Hub中發布的Docker鏡像了。不過,Stacs也可以直接通過Python的PyPI來安裝,或者你也可以直接使用下列命令將該項目源碼克隆至本地:
- git clone https://github.com/stacscan/stacs.git
Docker使用
使用發布的Docker鏡像,Stacs將該能夠直接幫助我們完成組件掃描。我們可以直接在掃描容器中加載大量文件,并交給Stacs的Docker鏡像進行掃描。
比如說,我們可以使用下列命令直接掃描當前目錄中的所有內容:
- docker run \
- --rm \
- --mount type=bind,source=$(pwd),target=/mnt/stacs/input \
- stacscan/stacs:latest
默認配置下,Stacs會直接將所有的發現以SARIF格式直接輸出至STDOUT,并確保一切數據按順序排列,所有的信息都會被記錄并發送至STDERR。
PyPI安裝
我們也可以通過Python的PyPi來安裝Stacs。此時我們可以通過“stacs”命令直接在本地開發環境中執行項目掃描。
我們可以使用下列命令直接通過PyPI安裝Stacs:
- pip install stacs
微軟SARIF報告查看
當前版本的Stacs數據輸出格式僅支持SARIF v2.1.0,下圖顯示的是我們利用Stacs在一個Docker鏡像中發現的結果:
項目地址
Stacs:【GitHub傳送門】
原文鏈接:https://www.freebuf.com/articles/container/317348.html
