Показать сообщение отдельно
Старый 31.10.2017, 19:29   #1
Супер-модератор
 
Аватар для Que$t
Группа: Member
 
Регистрация: 29.10.2017
Возраст: 31
Сообщений: 392
Репутация: 131
По умолчанию Microsoft выпустил бесплатный инструмент для проверки зараженных сайтов

Редкая щедрость Microsoft

Разработчики браузера Microsoft Edge выпустили бесплатный инструмент под названием Sonar, предназначенный для анализа кода веб-сайтов на предмет проблем с безопасностью. Исходный код Sonar опубликован на GitHub под открытой лицензией. Дальнейшим его развитием программисты Microsoft будут заниматься вместе с участниками проекта JS Foundation.

Sonar позволяет проводить проверку кода веб-сайтов на присутствие программных ошибок, проблем с производительностью, доступностью и безопасностью.

На данный момент Sonar доступен как утилита, запускаемая из командной строки, а также открытый онлайн-сервис, работающий поверх облака Azure и позволяющий сканировать любой публичный сайт.
Свойства Sonar

Как указывается в описании Sonar, этот пакет позволяет производить тестовое исполнение всего кода веб-сайта, а не только статическую проверку. Кроме того, заявлен гибкий и современный набор правил, проведение параллельных тестов и интеграция с другими сервисами. В частности, он может работать вместе с aXe Core, AMP validator, snyk.io, SSL Labs и Cloudinary.



Microsoft выпустил открытый инструмент для инспекции кода веб-сайтов

Sonarпоможет выявить, уязвим ли сайт перед MitM-атаками при использовании HTTPS-соединений. Подобный сценарий может осуществляться, если такие соединения не используют заголовок Strict-Transport-Security. Кроме того, Sonar проверяет, заданы ли в заголовке set-cookie header атрибуты Secure и HttpOnly — во избежание XSS-атак.

Новый инструмент Microsoft также способен выявлять подверженность сайтов MIME-сниффингу и выяснять, уязвимы ли библиотеки или фреймворки JavaScript, используемые сайтом. Для этого используются база данных уязвимостей Snyk и js-library-detector.

С помощью Sonar можно застраховаться от утечек данных через заголовки и предотвратить перенаправление на вредоносные сайты.

Комментарий эксперта
«Веб-сайты, особенно публичные, — одна из самых любимых "точек входа" для кибервзломщиков. Сайт будут атаковать в первую очередь, — отмечает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — Поэтому использование таких инструментов как Sonar — насущная необходимость для разработчиков. Остается только приветствовать, что Microsoft сделала свою разработку бесплатной для пользователей и оставила сообществу Open Source возможность совершенствовать его в дальнейшем».

Sonar— новый инструмент для проверки веб-сайтов на уязвимости разработчиков Microsoft Edge — стал доступен как утилита, запускаемая из-под командной строки, или как общедоступный веб-сервис. Исходный Sonarпередан сообществу разработчиков с открытым кодом.






Que$t вне форума   Ответить с цитированием
 
Время генерации страницы 0.09531 секунды с 10 запросами