Login
Login-Name Passwort


 
Newsletter
Werbung

Di, 30. Juli 2013, 20:31

Software::Security

Sicherheitsscans für Web-Apps mit Mozilla Minion

Das Sicherheitsteam bei Mozilla stellt nach rund einem Jahr Entwicklungszeit mit Minion erstmals sein Framework für automatisierte Sicherheitstests bei Webanwendungen vor.

Mozilla

Minion soll vor allem Entwickler von Webanwendungen, Webseiten und -Diensten in die Lage versetzen, ihre Werke vorab mit wenigen Klicks auf Sicherheitsprobleme hin abklopfen zu können. Das im »Security Automation Team« bei Mozilla entwickelte Framework will dazu ein Plugin-System sowie dazu passende Voreinstellungen für das Testen einer Vielzahl von Webanwendungen erstellen. In Vorbereitung ist ebenfalls ein Scan des Quellcodes der zu untersuchenden Webanwendungen und Dienste.

Minion, das gerade in Version 0.3 erschienen ist, ist nach Ansicht von Entwickler Yvan Boily weit genug, um intern bei Mozilla als Webdienst im praktischen Einsatz getestet zu werden. Darüber hinaus steht der Quellcode von Minion auf Github zur Verfügung.

Minion soll sowohl bei der Bedienung als auch von der Architektur her einfach sein. Es soll auf jeden Entwicklungs- oder Arbeitsablauf anpassbar sein. Die Architektur umfasst auf der oberen Ebene drei Bereiche: Plugins, eine Task Engine und ein Front End. Für die Plugins existiert neben der Unterstützung durch die Task Engine im Backend ein Repositorium mit Skripten, um diese auch in Entwicklungsumgebungen in einem Terminal oder auch außerhalb von Minion einsetzen zu können.

Boily erklärt in einem Blog-Eintrag die Funktionsweise der Plugins, die sich in Basis-Plugins im Backend und zusätzliche mitgelieferte oder selbsterstellte Plugins einteilen lassen. Derzeit pflegt das Minion-Team drei Plugins für ZAP, Skipfish und Nmap.

Die Tests, die Minion durchführt können auf dem gleichen Rechner wie Minion laufen oder auf virtuelle Maschinen verteilt werden. Die Ergebnisse werden in einem Format dargestellt, das es erlaubt, die Ergebnisse aller Tests, egal ob mit internen Plugins oder externen Wrappern durchgeführt, zusammen auszuwerten und aufzubereiten. Die Ergebnisse sollen außerdem zukünftig direkt in Bugtracking-Systeme eingespeist werden können.

Um möglichst zu verhindern, dass Minion für Angriffe genutzt werden kann, müssen untersuchte Webseiten für jeden Scan einzeln freigeschaltet werden. Wann Mozilla das Framework offiziell vorstellt, ist noch nicht absehbar.

Werbung
Kommentare (Insgesamt: 0 || Kommentieren )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung