مایکروسافت از عرضه سونار، ابزار متنباز برای کشف آسیبپذیری در وبسایتها خبر داد.
منبع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
مایکروسافت از عرضه سونار، ابزار متنباز برای کشف آسیبپذیری در وبسایتها خبر داد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مایکروسافت بهتازگی قابلیت دسترسی به سونار را معرفی کرد. سونار یک ابزار متنباز پویش در وبسایتهاست که طراحی شدهاست تا به توسعهدهندگان کمک کند مشکلات امنیتی و کارایی محصولات خود را شناسایی و وصله کنند.
سونار توسط گروه اِج مایکروسافت بهصورت متنباز توسعه یافته و به بنیاد جاوا اسکریپت اعطا شدهاست. مایکروسافت همچنان به پیشرفت این پروژه ادامه خواهد داد، اما مشارکتهای خارجی را نیز میپذیرد. سونار طیف گستردهای از مسائل ازجمله مربوط به کارایی، قابلیت دسترسی، امنیت، برنامههای وب پیشرفته و قابلیت همکاری را مورد بررسی قرار میدهد.
سونار در مورد امنیت، هشت نوع آسیبپذیری ازجمله مشکلات پیکربندی SSL را با استفاده از آزمایش کارگزار SSL مربوط به آزمایشگاههای SSL مورد بررسی قرار میدهد.
آزمایش دیگری بهدنبال اتصالات HTTPS است که از سازوکار انتقال اطلاعات با امنیت بالا استفادهنمیکنند که اطمینان حاصل کند یک وبسایت فقط میتواند از طریق ارتباطات ایمن قابل دسترسی باشد تا از حملات مرد میانی جلوگیری شود.
توسعهدهندگان همچنین میتوانند متوجه شوند که آیا برنامهها یا وبسایتهایشان در برابر حملات مبتنیبر شنودMIME آسیبپذیر هستند یا خیر. شنود MIME به مرروگرها اجازه میدهد که قالبهای پرونده را شناسایی کنند، حتی اگر نوع رسانه اشتباه باشد. با اینکه شنود MIME مزایایی دارد، اما همچنین خطرات امنیتی را نیز معرفی میکند که اگر وبسایت از گزینههای نوع محتوای X: عنوان پاسخ nosniff HTTP استفاده کند، این خطرات میتوانند کاهش یابند.
سونار همچنین بررسی میکند که آیا سرآیند تنظیم کوکی ویژگیهای HttpOnly و ایمن را معرفی میکند یا خیر که با اطمینان از اینکه کوکیها نمیتوانند در سرتاسر HTTP منتقل شوند و مقادیر آنها نمیتوانند از طریق جاوا اسکریپت قابل دسترس باشند از سرقت نشست بهوسیله حملات تزریق اسکریپت از طریق وبسایت یا XSS جلوگیری میکند.
یکی دیگر از ویژگیهای مفید امنیتی این است که اگر وبسایتی یک چارچوب یا کتابخانه جاوا اسکریپت آسیبپذیر را در سمت کارخواه اجرا کند، سونار میتواند تشخیص دهد. این کار با استفاده از پایگاه داده آسیبپذیری Snyk و کشفکننده کتابخانه جاوا اسکریپت انجام میشود.
سونار همچنین طراحی شدهاست تا اطمینان حاصل شود که سرآیند دادههای حساس بالقوه را آشکار نمیکنند و از تغییر مسیرهای غیرمجاز که میتوانند کاربران را به وبسایتهای مخرب هدایت کنند، جلوگیری میکند. سونار میتواند بهصورت محلی به عنوان یک ابزار خط فرمان مورد استفاده قرار بگیرد، اما یک نسخه برخط نیز برای آن در دسترس است. این ابزار میتواند با چند محصول دیگر ازجمله هسته aXe، اعتبارسنج AMP، snyk.io، SSL Labs، و Cloudinary یکپارچه شود.