The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Проект Mozilla представил Minion, платформу для автоматизированного тестирования безопасности кода

30.07.2013 22:27

Сообщество Mozilla анонсировало два новых проекта: Minion и Peach. Minion представляет собой модульную платформу для организации проведения автоматизированного тестирования продуктов на предмет наличия потенциальных проблем с безопасностью. Проект Peach, развиваемый совместно с компанией BlackBerry, является фреймворком для организации fuzzing-тестирования браузеров. Код компонентов Minion написан на языке Python и распространяется под лицензией MPL. Исходные тексты Peach написаны на языке C# и доступны под лицензией MIT.

В процессе своей работы Peach выполняет серию подготовленных тестировщиками fuzzing-тестов, рассчитанных на проверку web-браузеров и симулирующих различные случайные комбинации входных данных. Например, проверяется обработка HTML-страниц со случайной комбинацией тегов и их параметров, в основной массе с некорректным применением аргументов. Сбой или крах при выполнении тестирования с высокой долей вероятности может свидетельствовать об ошибке или уязвимости. Peach уже активно используется для выявления в Firefox проблем с обработкой различных типов изображений, аудио и видео форматов, шрифтов, обращения к мультимедийным API, таким как WebGL и WebAudio, взаимодействия по протоколу WebRTC.

Minion является не привязанной к конкретным тестам универсальной платформой для автоматизации выполнения тестирования и упрощения деятельности разработчиков по проверке безопасности разрабатываемого кода. Идея проекта в предоставлении разработчикам приложений простых и понятных средств для тестирования, не требующих привлечения экспертов по безопасности. Различные сценарии тестирования оформляются в виде плагинов. Для управления процессом тестирования предлагается использовать специальный web-интерфейс на базе Flask и Angular.js.

Для начала тестирования своего web-приложения (уже размещённого на сервере) разработчику достаточно подключиться к сервису и инициировать процесс сканирования возможных проблем, выбрав уже подготовленные сценарии проведения тестирования. В настоящее время доступны такие методы проверки, как fuzzing-тестирование с использованием Skipfish, сканирование портов через nmap, использование Zed Attack Proxy для проверки на стойкость к типовым атакам, таким как подстановка SQL-кода или HTML-тегов. Каждый плагин выполняет определённую проверку, обращаясь по сети к целевому серверу или web-приложению, после чего возвращает результат в менеджер выполнения заданий, который координирует запуск плагинов. Кроме web-интерфейса тестирование может быть инициировано через специальный API, что позволяет интегрировать поддержку Minion в интегрированные среды разработки и различные сторонние инструментарии.



  1. Главная ссылка к новости (https://blog.mozilla.org/blog/...)
  2. OpenNews: Разработчики Chromium представили кластер для автоматизации выявления уязвимостей
  3. OpenNews: Инструмент аудита cross_fuzz позволил найти более ста ошибок во всех веб-браузерах
  4. OpenNews: Представлен ZAP, инструмент комплексного анализа веб-сайтов на уязвимости
  5. OpenNews: Анонсированы новые межсетевые экраны для защиты web-приложений - IronBee и openWAF
  6. OpenNews: Компания Google открыла программу для проверки безопасности web-приложений
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/37551-fuzzing
Ключевые слова: fuzzing, minion, mozilla
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (15) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, хрюкотающий зелюк (?), 23:03, 30/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Нужно! (кому-то, не мне, но 100% нннада)
     
  • 1.2, noize (ok), 23:03, 30/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    круто, они запилили свой дженкинс с питоном и шлюхами
     
     
  • 2.4, виндотролль (ok), 00:32, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > с питоном и шлюхами

    вообще-то с питоном и C#, но метафора мне понравилась

     
  • 2.14, rshadow (ok), 15:49, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Java -> питон прогресс уже хороший. Если на третьей итерации за дело возьмется кто нибудь поприличнее питоновцев то может тема данного софта будет закрыта.
     

  • 1.3, Аноним (-), 00:12, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    прикольно. еще не продукт IBM но уже что-то наппоминающее используемое NVidia или Cray.
     
     
  • 2.7, Аноним (-), 02:10, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что, у них тоже стремный крап на питоне с сишарпом есть? Хотя стоп, это же энтерпрайз! Хотя у IBM наверное все-таки на яве, а? :)
     
     
  • 3.15, Аноним (-), 20:37, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    неа, там RabbitMQ, те Erlang, правда нативный, без OTP JIP(бинарники с выхлопа HiPerf OTP).
     

  • 1.5, all_glory_to_the_hypnotoad (ok), 01:11, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    гогнокодеры, c# и безопасность. Да, очень смешно
     
     
  • 2.6, aaa (??), 01:59, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    это не "защищялка", а "ломалка"...
     
  • 2.8, Lain_13 (ok), 02:20, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А не пофиг на чём написан фаззер? Главное на сколько успешно он справляется с задачей.
    Тут, скорее, может возникнуть проблема в скорости его работы.
     
     
  • 3.11, Аноним (-), 09:40, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Нет. Гл авное, гр амотно, пис ать нафоруме.
     

  • 1.10, медведдд (ok), 08:24, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    "развиваемый совместно с компанией BlackBerry"

    Это у той самой, которая всю твою почту на свои серваки перекачивает? Подозрительно-с...

     
     
  • 2.13, Васильева (?), 14:03, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ставь сервак себе и будет на твои. И впредь, сначала думаем, потом говорим
     

  • 1.12, ещё один (?), 11:15, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    ура!!! больше можно совсем не думать о безопасности при написании кода!!! эта софтина выполнит эту работу за меня!
     
  • 1.16, lucentcode (ok), 22:07, 03/08/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Печально. Писать открытое ПО на C# как-то не правильно. В любой момент Mono могут прижать к ногтю, и тогда данное ПО будет работать только на одной ОС.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру