HP biedt gratis scanner voor Flash-gaten
Gepubliceerd: Maandag 23 maart 2009
Auteur: Tonie van Ringelestijn
HP biedt nu een gratis programma waarmee ontwikkelaars beveiligingslekken in Flash-applicaties kunnen opsporen.
Het nieuwe SWF Scan detecteert mogelijke lekken en kwetsbaarheden in de code van Flash-applicaties. De gratis scansoftware werkt met alle versies van Flash en test de softwarecode op zestig problemen, waaronder het doorgeven van gevoelige informatie en cross-site scripting (xss).
"SWF Scan helpt ontwikkelaars zonder beveiligingsachtergrond om kwetsbaarheden te ontdekken," blogt manager Billy Hoffman van HP's Web Security Research Group.
Flash is volgens het bedrijf steeds populairder als doelwit om sites aan te vallen. Uit onderzoek van HP blijkt al dat 35 procent van de Flash-applicaties niet voldoet aan Adobe's veiligheidsvoorschriften. Volgens Hoffman zijn er onder meer encryptiesleutels gevonden in de onderzochte Flash-code. Daarnaast is in 15 procent van de Flash-toepassingen gebruikersnamen en wachtwoorden gevonden en in 16 procent heeft HP XSS-lekken ontdekt.
Alternatieven
IBM biedt al langer een applicatie die automatisch lekken in Flash- en AJAX-applicaties opspoort, maar dit programma, Ration AppScan, is duur. IBM rekent voor de jaarlicentie bijna 18.000 dollar.
Gratis tegenhangers, zoals Flash-decompilers Flare en SWFIntruder, bestaan ook al enkele jaren. "Maar helaas kunnen deze gratis tools de innovaties in Flash 9 en 10, ActionScript 3 en Adobe's Flex-framework niet bijbenen", oordeelt Hoffman.
Adobe heeft recent een patch uitgebracht voor een beveiligingslek in de Flash Player waarmee aanvallers computers op afstand kunnen overnemen.
Andere HP-tool
Vorig jaar heeft HP al een programma uitgebracht waarmee ontwikkelaars kunnen testen of hun ASP-applicaties kwetsbaar zijn voor SQL-injuecties. Dat Scrawlr is ook gratis.
