Ilmaisohjelma etsii Flash-koodista turva-aukot
0
Swfscanille annetaan swf-tiedoston url-osoite webissä, ja hetken päästä ohjelma tulostaa raportin yhteensopivista Flash 9- ja 10 -sovelluksista. Ohjelma tunnistaa valmistajan mukaan 60 tyypillisintä tietoturva-aukkoa.
Adobe Flash on laajasti käytössä webissä mainoksissa, multimediassa ja web-sovelluksissa. Laajentunut käyttö on johtanut myös tietoturvaongelmiin, kun kaikki kehittäjät eivät ole tunteneet turvallisen koodin vaatimuksia. It-yhtiön HP:n web-tutkimusyksikkö on julkaissut uuden ilmaisohjelman Swfscan Adobe Flashin swf-tiedostojen analysointiin.
HP:n mukaan Swfscan on suunnattu kehittäjille, jotka eivät ole tietoturvan ammattilaisia. HP ilmoittaa, että analysointityökalu tunnistaa 60 haavoittuvuustyyppiä tietovuodoista cross-site scripting (xss) -haavoittuvuuksiin ja verkkotunnusten välisiin käyttöoikeuksiin. Työkalu analysoi nimenomaan selaimessa jaettavan Flash-koodin, ei siis palvelinpään sovelluksia.
Saatavana on ollut Flashin tietoturvan testaustyökaluja ennenkin, kuten Flare ja Swfintruder, mutta HP:n mukaan yhtiön oma sovellus on ensimmäinen, joka toimii sekä Flash 9:n ja 10:n että Actionscript 3:n ja Adobe Flexin kanssa. Swfscan purkaa Actionscript-koodin avoimeksi lähdekoodiksi haavoittuvuuksien etsimistä varten.
HP kertoo testanneensa työkaluaan yli 4000 swf-tiedoston kanssa ja todenneensa yli kolmanneksen rikkovan Adoben hyvien kehitysmenetelmien ohjeita.
HP esittelee sovellusta yksityiskohtaisesti tietoturvalabransa blogissa.
