Bezpłatne narzędzie od HP Scans for Loss Vibrnerabilities

Hewlett-Packard ma wypuściło darmowe narzędzie programistyczne, które wyłapuje luki we Flashu, szeroko wykorzystywanej, ale czasami zapluskwionej, interaktywnej technologii internetowej firmy Adobe

Narzędzie SWFScan zostało zaprojektowane dla programistów bez środowisk zabezpieczeń - poinformowała firma na jednym ze swoich blogów. Została ona zbudowana przez HP Web Security Research Group.

HP powiedział, że SWFScan dołącza do innych narzędzi, które mogą dostrzec problemy z Flash, takie jak Flare i SWFIntruder. Ale HP powiedział, że SWFScan jest jedynym, który może być używany z wersjami Flash 9 i 10; ActionScript 3, język skryptowy Flasha; i Flex, open-source framework aplikacji internetowych wykorzystywanych przez Adobe.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

SWFScan zdekompiluje ActionScript 2 i 3 do oryginalnego kodu źródłowego i wykona analizę statyczną, szukając w przypadku ponad 60 luk w zabezpieczeniach, w tym wycieku danych, ataków typu cross-site scripting i eskalacji uprawnień między domenami, HP powiedział.

Narzędzie podkreśla kłopotliwe linie kodu źródłowego, a także zapewnia porady naprawcze. Zostanie sformatowany raport o luce w zabezpieczeniach, a także pozwoli na eksport kodu źródłowego do pracy w innych narzędziach, powiedział HP.

HP powiedział, że przetestował SWFScan na około 4000 aplikacji Flash i odkrył, że 35 procent naruszyło najlepsze praktyki bezpieczeństwa firmy Adobe. Szesnaście procent aplikacji Flash Player 8 i wcześniejszych zawierało luki w zabezpieczeniach skryptów cross-site. Piętnaście procent tych aplikacji z formularzami logowania ma nazwy lub hasła zakodowane na stałe w aplikacji, powiedział HP.

HP ostrzega, że ​​narzędzie analizuje tylko część aplikacji Flash działającej w przeglądarce, a nie te części, które są uruchomione serwer.