EresusSecurity
Doküman menüsü
BU SAYFADA
TarayıcılarAPI / Panel

REST API ve Panel

Sentinel API ve panel akışları yerel CLI’dan fazlasına ihtiyaç duyan ekipler için tarama uç noktası, web incelemesi, kimlik doğrulama kontrolü, CORS sıkılaştırması, denetim günlüğü ve rapor aktarımı sağlar.

Kısa tanım

Sentinel API ve Panel, CLI tarama çıktısını servis akışına çevirir. Ekipler korumalı panel başlatabilir, tarama uç noktası sunabilir, analiz için girdi gönderebilir ve düzeltme/raporlama için denetim kanıtı tutabilir.

Sunucu iş akışı

Tarama sonuçlarının iç araç, panel veya CI sistemi tarafından çağrılması gerektiğinde API sunucusunu kullanın. CLI ile eşitlik korunmalı: API aynı kural kimliği ve öncelik dilini üretmelidir.

Operasyonel kontrol listesi
  • Paneli açık parola ile başlatın
  • API sunucusunu önce iç ağ üzerinde çalıştırın
  • Aktarım için tarama isteği ve sonuç kimliğini saklayın

Üretim sıkılaştırması

Güvenlik tarayıcısı hassas istem, gizli bilgi ve model üst verisi görebilir. Üretim dağıtımı kimlik doğrulama, CORS sınırı, denetim günlüğü ve oran limiti ister.

Operasyonel kontrol listesi
  • Bearer kimlik doğrulaması veya parola koruması ayarlayın
  • CORS’u onaylı kaynaklarla sınırlayın
  • Politika kararları için denetim günlüğü açın
  • Oran limiti ve istek boyutu limiti kullanın

Rapor aktarımı

Aynı bulguyu birden fazla ekip inceliyorsa panel kullanışlıdır. Aktarım kural kimliği, kanıt, sorumlu, durum ve yeniden test komutu üzerine kurulmalıdır.

Operasyonel kontrol listesi
  • SARIF/JSON çıktısını iş kaydına ekleyin
  • Panel durumu inceleme için kullanılsın, tek gerçek kaynak olmasın
  • Bulguları temiz yeniden test çıktısıyla kapatın

Rol tabanlı erişim denetimi (OWASP API Güvenlik Top 10 2023)

Sentinel API, üç katmanlı RBAC modelini izler. Erişim kapsamları OWASP API Güvenlik Top 10 2023 — özellikle API1 (Bozuk Nesne Düzeyi Yetkilendirmesi) ve API5 (Bozuk İşlev Düzeyi Yetkilendirmesi) — ile uyumludur. Her tüketiciye gereken minimum rol atın.

Operasyonel kontrol listesi
  • read: tarama sonuçlarını, kural kategorilerini, öncelik rehberini ve paneli görüntüle — yazma veya yönetim işlemi yok
  • scan: read + tarama başlat, dosya yükle, değlendirme çalıştır — politika veya kullanıcı yönetimi yok
  • admin: scan + kural yönet, politika yapılandır, API tokenları oluştur/döndür, denetim günlüğüne eriş
  • OWASP API1:2023 — her /results/{id} bitiş noktasında nesne düzeyi yetkilendirmesini zorunlu kılın, yalnızca rota koruyucusuna güvenmeyin
  • OWASP API5:2023 — işlev düzeyi işlemleri (tarama başlatma, kural güncelleme) scan/admin kapsamıyla sınırlandırın
  • API tokenlarını planlı olarak döndürün; tokenlar servis yeniden başlatılmadan süresini doldurabilmeli ve iptal edilebilmelidir

Temel REST bitiş noktaları

Sentinel minimal bir REST yüzeyi sunar. Tüm bitiş noktaları taşıyıcı token kimlik doğrulaması gerektirir. Girdi JSON’dur; çıktı Accept başlığına göre JSON veya SARIF olabilir.

Operasyonel kontrol listesi
  • POST /scan — tarama işi gönder: { target, modules[], options } — döndürür: { jobId, status: queued }
  • GET /results/{id} — iş kimliği için tarama sonuçlarını al — SARIF uyumlu yapıda tam bulgu listesi döndürür
  • GET /health — kimlik doğrulamasız canlılık testi — { status: ok, version } döndürür
  • GET /rules — kategori, öncelik ve OWASP/CWE eşleşmesiyle etkin kuralları listele
  • POST /eval — kırmızı takım değlendirme çalıştırması başlat — scan kapsamı gerektirir
  • Tüm mutasyon bitiş noktaları denetim günlüğüne kaydedilir: aktör, eylem, kaynak, zaman damgası, kaynak IP

Komutlar

export SENTINEL_PASSWORD=change-me
sentinel dashboard
sentinel serve --host 0.0.0.0 --port 8080
curl -X POST http://localhost:8080/scan/input -H "Content-Type: application/json" -d '{"text":"user prompt"}'

Beklenen çıktı

Çıktı; kural kimliği, öncelik, yüzey, kanıt ve yayın kararını başka ekiplerin de anlayacağı şekilde taşımalıdır.

HTTP/1.1 200 OK
{
  "findings": [],
  "decision": "allow",
  "scanner": "sentinel",
  "request_id": "scan_01"
}

Sık sorular

Panel herkese açık olmalı mı?

Hayır. İç ağla başlayın. Panel hassas istem, gizli bilgi, dosya adı ve operasyonel üst veri içerebilir.

Ne loglanmalı?

Kural kimliği, öncelik, karar, istek kimliği, zaman damgası ve redakte edilmiş kanıt loglanmalı. Ham gizli bilgi veya tam hassas istem loglanmamalıdır.

En az ayrıcalıklı API erişimini nasıl uygularım?

Üç katmanlı RBAC modelini kullanın: izleme tüketicilerine read kapsamı, CI/CD boru hatlarına scan kapsamı, yalnızca güvenlik operatörlerine admin kapsamı atayın. Tokenları planlı döndürün; tahminen ele geçirildiğinde derhal iptal edin. Her bitiş noktasında OWASP API Güvenlik Top 10 2023 API1 ve API5 kontrollerini uygulayın.

Kaynaklar

Eresus desteği

Bulguyu rapora değil, kapatılabilir aksiyona çevirin.

REST API ve Panel için exploit kanıtı, önceliklendirme, düzeltme yönü ve yeniden test akışı gerekiyorsa Eresus ekibi kapsamı birlikte çıkarabilir.

Güvenlik Testi Başlat
ÖncekiRuntime GatewaySonrakiKural Rehberi