اخبار اخبار

ابزار متن‌باز کشف باگ در وب‌سایت‌ها

مایکروسافت سونار را عرضه کرد

مایکروسافت از عرضه سونار، ابزار متن‌باز برای کشف آسیب‌پذیری در وب‌سایت‌ها خبر داد.

مایکروسافت به‌تازگی قابلیت دسترسی به سونار را معرفی کرد. سونار یک ابزار متن‌باز پویش در وب‌سایت‌هاست که طراحی شده‌است تا به توسعه‌دهندگان کمک کند مشکلات امنیتی و کارایی محصولات خود را شناسایی و وصله کنند.

سونار توسط گروه اِج مایکروسافت به‌صورت متن‌باز توسعه یافته و به بنیاد جاوا اسکریپت اعطا شده‌است. مایکروسافت همچنان به پیشرفت این پروژه ادامه خواهد داد، اما مشارکت‌های خارجی را نیز می‌پذیرد. سونار طیف گسترده‌ای از مسائل ازجمله مربوط به کارایی، قابلیت دسترسی، امنیت، برنامه‌های وب پیشرفته و قابلیت همکاری را مورد بررسی قرار می‌دهد.

سونار در مورد امنیت، هشت نوع آسیب‌پذیری ازجمله مشکلات پیکربندی SSL را با استفاده از آزمایش کارگزار SSL مربوط به آزمایشگاه‌های SSL مورد بررسی قرار می‌دهد.

آزمایش دیگری به‌دنبال اتصالات HTTPS است که از سازوکار انتقال اطلاعات با امنیت بالا استفاده‌نمی‌کنند که اطمینان حاصل کند یک وب‌سایت فقط می‌تواند از طریق ارتباطات ایمن قابل دسترسی باشد تا از حملات مرد میانی جلوگیری شود.

توسعه‌دهندگان همچنین می‌توانند متوجه شوند که آیا برنامه‌ها یا وب‌سایت‌هایشان در برابر حملات مبتنی‌بر شنودMIME آسیب‌پذیر هستند یا خیر. شنود MIME به مرروگرها اجازه می‌دهد که قالب‌های پرونده را شناسایی کنند، حتی اگر نوع رسانه اشتباه باشد. با اینکه شنود MIME مزایایی دارد، اما همچنین خطرات امنیتی را نیز معرفی می‌کند که اگر وب‌سایت از گزینه‌های نوع محتوای X: عنوان پاسخ nosniff HTTP استفاده کند، این خطرات می‌توانند کاهش یابند.

سونار همچنین بررسی می‌کند که آیا سرآیند تنظیم کوکی ویژگی‌های HttpOnly و ایمن را معرفی می‌کند یا خیر که با اطمینان از اینکه کوکی‌ها نمی‌توانند در سرتاسر HTTP منتقل شوند و مقادیر آنها نمی‌توانند از طریق جاوا اسکریپت قابل دسترس باشند از سرقت نشست به‌وسیله‌ حملات تزریق اسکریپت از طریق وب‌سایت یا XSS جلوگیری می‌کند.

یکی دیگر از ویژگی‌های مفید امنیتی این است که اگر وب‌سایتی یک چارچوب یا کتابخانه‌ جاوا اسکریپت آسیب‌پذیر را در سمت کارخواه اجرا کند، سونار می‌تواند تشخیص دهد. این کار با استفاده از پایگاه‌ داده‌ آسیب‌پذیری Snyk و کشف‌کننده‌ کتابخانه‌ جاوا اسکریپت انجام می‌شود.

سونار همچنین طراحی شده‌است تا اطمینان حاصل شود که سرآیند داده‌های حساس بالقوه را آشکار نمی‌کنند و از تغییر مسیرهای غیرمجاز که می‌توانند کاربران را به وب‌سایت‌های مخرب هدایت کنند، جلوگیری می‌کند. سونار می‌تواند به‌صورت محلی به عنوان یک ابزار خط فرمان مورد استفاده قرار بگیرد، اما یک نسخه‌ برخط نیز برای آن در دسترس است. این ابزار می‌تواند با چند محصول دیگر ازجمله هسته‌ aXe، اعتبارسنج AMP، snyk.io، SSL Labs، و Cloudinary یکپارچه شود.

منبع: Security Week

تصاویر مرتبط
تاریخ انتشار مطلب: 08 آبان 1396
بازدید ها: 228