Nástroj bezplatného testování od společnosti HP pro chyby zabezpečení

Společnost Hewlett-Packard vydal bezplatný vývojový nástroj, který zjišťuje zranitelnosti ve Flashu, široce používanou webovou technologii společnosti Adobe System, ale občas je to chyba.

Nástroj SWFScan je určen pro vývojáře bez bezpečnostních zázemí, říká společnost na jednom ze svých blogů. Byla postavena výzkumnou skupinou Web Security Research společnosti HP.

Společnost HP uvedla, že SWFScan se připojuje k dalším nástrojům, které mohou zaznamenat problémy s aplikací Flash, jako je například Flare a SWFIntruder. Ale HP uvedlo, že SWFScan je jediný, který lze použít s verzemi Flash 9 a 10; ActionScript 3, skriptovací jazyk aplikace Flash; a Flex, otevřený zdroj webových aplikací používaný společností Adobe.

SWFScan dekompiluje ActionScript 2 a 3 do původního zdrojového kódu a provádí statickou analýzu pro více než 60 zranitelných míst, včetně úniku dat, zranitelností skriptování mezi různými servery a zvýšení úrovní oprávnění mezi doménami.

Nástroj upozorňuje na potíže v zdrojovém kódu a poskytuje také poradenství v oblasti sanace. Bude formovat zprávu o chybě zabezpečení a umožní exportovat zdrojový kód pro práci v jiných nástrojích.

Společnost HP uvedla, že testovala SWFScan u některých 4000 aplikací Flash a zjistila, že 35 procent porušuje nejlepší bezpečnostní postupy společnosti Adobe. Šestnáct procent aplikací pro přehrávač Flash Player 8 a starších obsahovalo zranitelnosti skriptování mezi lokalitami. Padesát procent těchto aplikací s přihlašovacími formuláři mělo uživatelské jména nebo hesla pevně zakódované do aplikace, HP uvedla.

Společnost HP varovala, že nástroj se zabývá jen částí aplikace Flash spuštěné v prohlížeči, a nikoli těch částí, které běží server.