Исходное сообщение
"Опубликован инструмент для выявления проблем с безопасностью..." Отправлено opennews, 27-Янв-19 11:59
Представлен (https://blog.doyensec.com/2019/01/24/electronegativity.html) первый выпуск утилиты Electronegativity (https://github.com/doyensec/electronegativity), предназначенной для выявления некорректных настроек и потенциальных проблем с безопасностью в приложениях, разработанных с использованием платформы Electron (https://electronjs.org/). Код проекта написан на языке JavaScript и поставляется (https://github.com/doyensec/electronegativity) под лицензией Apache 2.0. Утилита выполняет разбор AST (абстрактное синтаксическое дерево) и DOM, анализирует расхождения с рекомендациями (https://doyensec.com/resources/us-17-Carettoni-Electronegati...) по безопасной разработке с использованием платформы Electron и автоматически выявляет потенциальные проблемы и опасные приёмы разработки. При сканировании приложения утилита распаковывает все ресурсы и анализирует используемый в приложении Javascript-код, HTML-разметку и JSON-блоки. Результат сканирования может быть выведен в форме наглядного текстового отчёта или в форматах CSV и SARIF. В настоящее время реализовано 27 проверок (https://github.com/doyensec/electronegativity/wiki), подготовленных после изучения типовых уязвимостей (https://doyensec.com/resources/us-17-Carettoni-Electronegati...) в приложениях на базе Electron. Например, проверяется включение настройки "disablewebsecurity", обработка внешних ресурсов без их sandbox-изоляции, обращение к внешним обработчикам, доступ preload-скриптов к Node.js API, переопределение обработчиков протоколов, использование опасных функций (insertCSS, executeJavaScript, eval), отключение блокировки всплывающих окон (allowpopups), обращение к экспериментальным API Chromium, обработка кода без опции "contextIsolation", установка HTTP-соединений без шифрования и т.п. URL: https://blog.doyensec.com/2019/01/24/electronegativity.html Новость: https://www.opennet.ru/opennews/art.shtml?num=50034