fixup! Web security audit base pipeline

2019-04-15 20:50:20 +02:00
parent 5b57e78e9e
commit f1a2ff3b0c
6 changed files with 776 additions and 84 deletions
--- a/vars/audit.groovy
+++ b/vars/audit.groovy
@ -8,8 +8,44 @@ def call() {

        parameters {
            string(
-                name: 'url', 
-                description: 'URL d\'entrée pour l\'audit'
+                name: 'targetUrl', 
+                description: 'URL cible pour l\'audit'
+            )
+            string(
+                name: 'basicAuthUsername', 
+                description: "Nom d'utilisateur pour l'authentication 'Basic Auth' (si besoin)"
+            )
+            password(
+                name: 'basicAuthPassword', 
+                description: "Mot de passe pour l'authentication 'Basic Auth' (si besoin)"
+            )
+            string(
+                name: 'basicAuthDomain', 
+                description: "Nom de domaine pour l'authentication 'Basic Auth' (si besoin)"
+            )
+            string(
+                name: 'authFormUrl', 
+                description: "URL du formulaire d'authentication (si besoin)"
+            )
+            string(
+                name: 'authFormUsername', 
+                description: "Nom d'utilisateur du formulaire d'authentication (si besoin)"
+            )
+            password(
+                name: 'authFormPassword', 
+                description: "Mot de passe du formulaire d'authentication (si besoin)"
+            )
+            string(
+                name: 'authFormCheckUrl', 
+                description: "URL de vérification de la réussite de l'authentication (si besoin)"
+            )
+            string(
+                name: 'authFormCheckString', 
+                description: "Chaine de caractères à rechercher pour vérifier la réussite de l'authentication (si besoin)"
+            )
+            string(
+                name: 'authFormDataFormat', 
+                description: "Patron de formatage des données POST du formulaire d'authentification (si besoin). Exemple: username=%U&password=%P"
            )
        }

@ -19,7 +55,7 @@ def call() {
                steps {
                    script {
                        if (!params.url?.trim()) {
-                            error("L'URL du paquet n'est pas définie !")
+                            error("L'URL cible n'est pas définie !")
                        }
                    }
                }
@ -30,32 +66,54 @@ def call() {
                    script {
                        def w3afImage = buildDockerImage()
                        def dockerArgs = """
+                        -e W3AF_TARGET='${params.targetUrl}'
+                        -e W3AF_BASIC_AUTH_USERNAME='${params.basicAuthUsername}'
+                        -e W3AF_BASIC_AUTH_PASSWORD='${params.basicAuthPassword}'
+                        -e W3AF_BASIC_AUTH_DOMAIN='${params.basicAuthDomain}'
+                        -e W3AF_AUTH_FORM_URL='${params.authFormUrl}'
+                        -e W3AF_AUTH_FORM_USERNAME='${params.authFormUsername}'
+                        -e W3AF_AUTH_FORM_PASSWORD='${params.authFormPassword}'
+                        -e W3AF_AUTH_FORM_CHECK_URL='${params.authFormCheckUrl}'
+                        -e W3AF_AUTH_FORM_CHECK_STRING='${params.authFormCheckString}'
+                        -e W3AF_AUTH_FORM_DATA_FORMAT='${params.authFormDataFormat}'
                        """
                        w3afImage.inside(dockerArgs) {
-                            sh './w3af_console '
+                            sh 'mkdir reports'
+                            sh 'envtpl -o audit.w3af audit.w3af.tmpl'
+                            sh './w3af_console -y -n -s audit.w3af'
                        }
                    }
                }
            }
        }

-        // post {
-        //     failure {
-        //         wrap([$class: 'BuildUser']) {
-        //             rocketSend (
-        //                 avatar: 'https://jenkins.cadol.es/static/b5f67753/images/headshot.png',
-        //                 message: """
-        //                 Le test de sécurité pour `${params.url}` a échoué:
+        post {
+            always {
+                publishHTML target: [
+                    allowMissing: true,
+                    alwaysLinkToLastBuild: false,
+                    keepAll: true,
+                    reportDir: 'reports',
+                    reportFiles: 'report.html',
+                    reportName: "Rapport d'audit"
+                ]
+            }
+            failure {
+                // wrap([$class: 'BuildUser']) {
+                //     rocketSend (
+                //         avatar: 'https://jenkins.cadol.es/static/b5f67753/images/headshot.png',
+                //         message: """
+                //         Le test de sécurité pour `${params.targetUrl}` a échoué:
                        
-        //                 [Voir le job](${env.RUN_DISPLAY_URL})
+                //         [Voir le job](${env.RUN_DISPLAY_URL})
                        
-        //                 @${env.BUILD_USER_ID ? env.BUILD_USER_ID : 'here'}
-        //                 """.stripIndent(),
-        //                 rawMessage: true
-        //             )
-        //         }
-        //     }
-        // }
+                //         @${env.BUILD_USER_ID ? env.BUILD_USER_ID : 'here'}
+                //         """.stripIndent(),
+                //         rawMessage: true
+                //     )
+                // }
+            }
+        }

    }
 }