Бесплатный инструмент из HP Сканирование для уязвимостей Flash

Hewlett-Packard имеет выпустил бесплатный инструмент разработки, который обнаруживает уязвимости во Flash, широко используемую, но иногда ошибочную интерактивную веб-технологию Adobe System.

Инструмент SWFScan предназначен для разработчиков без безопасности, говорится в сообщении одной из своих блогов. Он был создан исследовательской группой HP Web Security.

HP заявила, что SWFScan объединяет другие инструменты, которые могут выявлять проблемы с Flash, такие как Flare и SWFIntruder. Но HP сказал, что SWFScan - единственный, который можно использовать с версиями Flash 9 и 10; ActionScript 3, язык скриптов Flash; и Flex, инфраструктуру веб-приложений с открытым исходным кодом, используемую Adobe.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

SWFScan будет декомпилировать ActionScript 2 и 3 в исходный исходный код и выполнить статический анализ, глядя для более чем 60 уязвимостей, включая утечку данных, уязвимости межсайтового скриптинга и междоменную эскалацию привилегий, сказал HP.

Инструмент выделяет неудобные строки в исходном коде, а также предоставит рекомендации по исправлению. Он отформатирует отчет об уязвимости, а также позволяет экспортировать исходный код для работы в других инструментах, сказал HP.

HP заявила, что протестировала SWFScan на около 4000 флеш-приложений и обнаружила, что 35% нарушили лучшие методы безопасности Adobe. Шестнадцать процентов приложений для Flash Player 8 и ранее содержали уязвимости межсайтового скриптинга. Пятнадцать процентов этих приложений с формами входа в систему имели имена пользователей или пароли, жестко закодированные в приложении, сказал HP.

HP предупредил, что инструмент смотрит только на часть приложения Flash, работающего в браузере, а не на тех частях, сервер.