HP SWFScan لفحص وتحليل ملفات الفلاش

الكاتب عبدالمهيمن الآغا

الاثنين, 23 مارس 2009 12:52

قبل عدة أيام أطلق فريق أمن تطبيقات الويب بشركة HP أداة مجانية جديدة تدعى SWFScan, تقوم هذه الأداة بتحليل ملفات الفلاش swf وفحصها في محاولة لاكتشاف الثغرات والأخطاء الأمنية الموجودة فيها. الأداة موجهة لمصممي العروض الفلاشية ومطوري المواقع بالدرجة الأولى كذلك الـ Pen-testers والمهتمين بأمن تطبيقات الويب وحمايتها.

تتميز هذه الأداة بحداثتها مقارنة مع الأدوات الأخرى وبسهولة استخدامها أيضا فهي لا تحتاج معرفة أو خبرة كبير في الثغرات والمشاكل الأمنية وكل ما يتطلب هو تحديد ملف الفلاش الذي تريد فحصه وستقوم الأداة بباقي العمل واخبارنا بالنتائج التي حصلت عليها كما أنها تدعم أحدث تقنيات شركة Adobe مثل Flash 9/10, Action Script 2/3, Flex...

الجدير بالذكر أن تطبيقات الفلاش كل يوم تزداد تطورا ويكاد لا يخلوا موقع منها, فهي لم تعد مجرد تصاميم أو عروض فلاشية ويتم استخدامها في العديد من الأمور مثل عرض مقاطع الفيديو والصوتيات, تصميم وبرمجة قوائم ونظام تسجيل دخول وحتى برامج متطورة وغرف محادثة منها بالصوت والصورة والكثير من التطبيقات الأخرى التي تجعلنا نهتم بحماية هذه التطبيقات بشكل أكبر من السابق.

هذه ليست أول أداة تقوم بهذه المهمة فأداة SWFIntruder من مشروع OWASP موجودة مسبقا لكن كما قلت سابقا تتميز هذه الأداة عن الأدوات الأخرى بحداثتها ومواكبتها للتطورات التي أحدثتها Adobe في منتجاتها. تقوم هذه الأداة بفحص ملف الفلاش بما يزيد عن 60 ثغرة, تبدأ عملها بتحليه واستخلاص أكواد Action Script الموجودة فيه ثم تختبر ملف الفلاش والأكواد من الثغرات المحتملة مثل ثغرات XSS, cross-domain privilege escalation, exposure of confidential data... ثم تقوم بعرض النتائج بشكل بسيط وتظهر السطر البرمجي الذي قد يسبب الثغرة مع بعض النصائح والحلول لاصلاحها كما لها القدرة على تصدير أكواد Action Script لاستخدامها في برامج أخرى واستخلاص الروابط الخارجية التي يستخدمها ملف الفلاش والكثير من الأمور الأخرى...

يمكن تحميل الأداة واختبارها من هنا (سيطلب منك تسجيل اسمك وايميلك ثم يظهر لك الرابط)

مزيد من المعلومات من احدى مدونات HP الخاصة بالحماية | فيديو يشرح كيفية استخدام الأداة

عن الكاتب:

عبدالمهيمن الآغا, مختص بالحماية وأساليب إختبار الإختراق. أملك خبرة في إدارة الشبكات والسيرفرات, تطوير المواقع والبرمجة بلغة Ruby التي برمجت بها عدّة مشاريع وأدوات مفتوحة المصدر.

إضافة إلى المفضلة

إرسال إلى صديق

المشاهدات: 1292

التعليقات (3) Add Comment

...
أرسلت بواسطة: Mustafa Albazy في March 24, 2009

جميلة جداً الأضافة, وسهلة جداً جداً .. ولكن من ناحية الجودة هذا يعتمد على عدة اختبارات .. مثلاً يتم أختبار أكثر من ملف فلاش وتكون لعدة مطورين في هذة الحالة سوف يضهر لنا قوة الأداة ..

شكراً لك :),
مصطفى.

...
أرسلت بواسطة: البرنس في April 17, 2009

بالفعل اغلب المواقع الان لا تخلو من الفلاش لكن هل للاداة القدره على فحص المواقع ام انها مقتصره فقط على الملفات
وشكرا على الموضوع الرائع

رد: البرنس
أرسلت بواسطة: Mustafa Albazy في April 17, 2009

الموقع ككل لا, ولكن تستطيع فحص ملف بمتداد swf من خلال رابط

أضف تعليق

يجب عليك الاشتراك بالموقع لتتمكن من كتابة التعليقات, الاشتراك مجاني ويستغرق بضع ثوان فقط!
اذا كنت مشترك مسبقا في الموقع فضلاً قم بتسجيل الدخول.

درجة التهديد

التصويت

إبقى على إتصال

المتواجدون الآن