The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

30.07.2013 22:27  Проект Mozilla представил Minion, платформу для автоматизированного тестирования безопасности кода

Сообщество Mozilla анонсировало два новых проекта: Minion и Peach. Minion представляет собой модульную платформу для организации проведения автоматизированного тестирования продуктов на предмет наличия потенциальных проблем с безопасностью. Проект Peach, развиваемый совместно с компанией BlackBerry, является фреймворком для организации fuzzing-тестирования браузеров. Код компонентов Minion написан на языке Python и распространяется под лицензией MPL. Исходные тексты Peach написаны на языке C# и доступны под лицензией MIT.

В процессе своей работы Peach выполняет серию подготовленных тестировщиками fuzzing-тестов, рассчитанных на проверку web-браузеров и симулирующих различные случайные комбинации входных данных. Например, проверяется обработка HTML-страниц со случайной комбинацией тегов и их параметров, в основной массе с некорректным применением аргументов. Сбой или крах при выполнении тестирования с высокой долей вероятности может свидетельствовать об ошибке или уязвимости. Peach уже активно используется для выявления в Firefox проблем с обработкой различных типов изображений, аудио и видео форматов, шрифтов, обращения к мультимедийным API, таким как WebGL и WebAudio, взаимодействия по протоколу WebRTC.

Minion является не привязанной к конкретным тестам универсальной платформой для автоматизации выполнения тестирования и упрощения деятельности разработчиков по проверке безопасности разрабатываемого кода. Идея проекта в предоставлении разработчикам приложений простых и понятных средств для тестирования, не требующих привлечения экспертов по безопасности. Различные сценарии тестирования оформляются в виде плагинов. Для управления процессом тестирования предлагается использовать специальный web-интерфейс на базе Flask и Angular.js.

Для начала тестирования своего web-приложения (уже размещённого на сервере) разработчику достаточно подключиться к сервису и инициировать процесс сканирования возможных проблем, выбрав уже подготовленные сценарии проведения тестирования. В настоящее время доступны такие методы проверки, как fuzzing-тестирование с использованием Skipfish, сканирование портов через nmap, использование Zed Attack Proxy для проверки на стойкость к типовым атакам, таким как подстановка SQL-кода или HTML-тегов. Каждый плагин выполняет определённую проверку, обращаясь по сети к целевому серверу или web-приложению, после чего возвращает результат в менеджер выполнения заданий, который координирует запуск плагинов. Кроме web-интерфейса тестирование может быть инициировано через специальный API, что позволяет интегрировать поддержку Minion в интегрированные среды разработки и различные сторонние инструментарии.



  1. Главная ссылка к новости (https://blog.mozilla.org/blog/...)
  2. OpenNews: Разработчики Chromium представили кластер для автоматизации выявления уязвимостей
  3. OpenNews: Инструмент аудита cross_fuzz позволил найти более ста ошибок во всех веб-браузерах
  4. OpenNews: Представлен ZAP, инструмент комплексного анализа веб-сайтов на уязвимости
  5. OpenNews: Анонсированы новые межсетевые экраны для защиты web-приложений - IronBee и openWAF
  6. OpenNews: Компания Google открыла программу для проверки безопасности web-приложений
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: fuzzing, minion, mozilla
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, хрюкотающий зелюк, 23:03, 30/07/2013 [ответить] [смотреть все]
  • +2 +/
    Нужно! (кому-то, не мне, но 100% нннада)
     
  • 1.2, noize, 23:03, 30/07/2013 [ответить] [смотреть все]
  • +6 +/
    круто, они запилили свой дженкинс с питоном и шлюхами
     
     
  • 2.4, виндотролль, 00:32, 31/07/2013 [^] [ответить] [смотреть все]
  • +3 +/
    > с питоном и шлюхами

    вообще-то с питоном и C#, но метафора мне понравилась

     
  • 2.14, rshadow, 15:49, 31/07/2013 [^] [ответить] [смотреть все]
  • –1 +/
    Java -> питон прогресс уже хороший. Если на третьей итерации за дело возьмется кто нибудь поприличнее питоновцев то может тема данного софта будет закрыта.
     
  • 1.3, Аноним, 00:12, 31/07/2013 [ответить] [смотреть все]
  • +/
    прикольно еще не продукт IBM но уже что-то наппоминающее используемое NVidia ил... весь текст скрыт [показать]
     
     
  • 2.7, Аноним, 02:10, 31/07/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Что, у них тоже стремный крап на питоне с сишарпом есть Хотя стоп, это же энтер... весь текст скрыт [показать]
     
     
  • 3.15, Аноним, 20:37, 31/07/2013 [^] [ответить] [смотреть все]  
  • +/
    неа, там RabbitMQ, те Erlang, правда нативный, без OTP JIP бинарники с выхлопа H... весь текст скрыт [показать]
     
  • 1.5, all_glory_to_the_hypnotoad, 01:11, 31/07/2013 [ответить] [смотреть все]  
  • –3 +/
    гогнокодеры, c# и безопасность. Да, очень смешно
     
     
  • 2.6, aaa, 01:59, 31/07/2013 [^] [ответить] [смотреть все]  
  • +/
    это не "защищялка", а "ломалка"...
     
  • 2.8, Lain_13, 02:20, 31/07/2013 [^] [ответить] [смотреть все]  
  • +/
    А не пофиг на чём написан фаззер? Главное на сколько успешно он справляется с задачей.
    Тут, скорее, может возникнуть проблема в скорости его работы.
     
     
  • 3.11, Аноним, 09:40, 31/07/2013 [^] [ответить] [смотреть все]  
  • +/
    Нет. Гл авное, гр амотно, пис ать нафоруме.
     
  • 1.10, медведдд, 08:24, 31/07/2013 [ответить] [смотреть все]  
  • –1 +/
    "развиваемый совместно с компанией BlackBerry"

    Это у той самой, которая всю твою почту на свои серваки перекачивает? Подозрительно-с...

     
     
  • 2.13, Васильева, 14:03, 31/07/2013 [^] [ответить] [смотреть все]  
  • +2 +/
    Ставь сервак себе и будет на твои. И впредь, сначала думаем, потом говорим
     
  • 1.12, ещё один, 11:15, 31/07/2013 [ответить] [смотреть все]  
  • +2 +/
    ура!!! больше можно совсем не думать о безопасности при написании кода!!! эта софтина выполнит эту работу за меня!
     
  • 1.16, lucentcode, 22:07, 03/08/2013 [ответить] [смотреть все]  
  • +/
    Печально. Писать открытое ПО на C# как-то не правильно. В любой момент Mono могут прижать к ногтю, и тогда данное ПО будет работать только на одной ОС.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor