Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Microsoft выпустил бесплатный инструмент для проверки зараженных сайтов

Microsoft выпустил бесплатный инструмент для проверки зараженных сайтов

Microsoft выпустил бесплатный инструмент для проверки зараженных сайтов


31.10.2017



Редкая щедрость Microsoft

Разработчики браузера Microsoft Edge выпустили бесплатный инструмент под названием Sonar, предназначенный для анализа кода веб-сайтов на предмет проблем с безопасностью. Исходный код Sonar опубликован на GitHub под открытой лицензией. Дальнейшим его развитием программисты Microsoft будут заниматься вместе с участниками проекта JS Foundation.

Sonar позволяет проводить проверку кода веб-сайтов на присутствие программных ошибок, проблем с производительностью, доступностью и безопасностью.

На данный момент Sonar доступен как утилита, запускаемая из командной строки, а также открытый онлайн-сервис, работающий поверх облака Azure и позволяющий сканировать любой публичный сайт.

Свойства Sonar

Как указывается в описании Sonar, этот пакет позволяет производить тестовое исполнение всего кода веб-сайта, а не только статическую проверку. Кроме того, заявлен гибкий и современный набор правил, проведение параллельных тестов и интеграция с другими сервисами. В частности, он может работать вместе с aXe Core, AMP validator, snyk.io, SSL Labs и Cloudinary.

Sonarпоможет выявить, уязвим ли сайт перед MitM-атаками при использовании HTTPS-соединений. Подобный сценарий может осуществляться, если такие соединения не используют заголовок Strict-Transport-Security. Кроме того, Sonar проверяет, заданы ли в заголовке set-cookie header атрибуты Secure и HttpOnly — во избежание XSS-атак. 

Новый инструмент Microsoft также способен выявлять подверженность сайтов MIME-сниффингу и выяснять, уязвимы ли библиотеки или фреймворки JavaScript, используемые сайтом. Для этого используются база данных уязвимостей Snyk и js-library-detector.

С помощью Sonar можно застраховаться от утечек данных через заголовки и предотвратить перенаправление на вредоносные сайты.

Комментарий эксперта

"Веб-сайты, особенно публичные, — одна из самых любимых "точек входа" для кибервзломщиков. Сайт будут атаковать в первую очередь, — отмечает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — Поэтому использование таких инструментов как Sonar — насущная необходимость для разработчиков. Остается только приветствовать, что Microsoft сделала свою разработку бесплатной для пользователей и оставила  сообществу Open Source возможность совершенствовать его в дальнейшем".

 

 

Сnews

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"