قبل عدة أيام أطلق فريق أمن تطبيقات الويب بشركة HP أداة مجانية جديدة تدعى SWFScan, تقوم هذه الأداة بتحليل ملفات الفلاش swf وفحصها في محاولة لاكتشاف الثغرات والأخطاء الأمنية الموجودة فيها. الأداة موجهة لمصممي العروض الفلاشية ومطوري المواقع بالدرجة الأولى كذلك الـ Pen-testers والمهتمين بأمن تطبيقات الويب وحمايتها.

HP SWFScan

تتميز هذه الأداة بحداثتها مقارنة مع الأدوات الأخرى وبسهولة استخدامها أيضا فهي لا تحتاج معرفة أو خبرة كبير في الثغرات والمشاكل الأمنية وكل ما يتطلب هو تحديد ملف الفلاش الذي تريد فحصه وستقوم الأداة بباقي العمل واخبارنا بالنتائج التي حصلت عليها كما أنها تدعم أحدث تقنيات شركة Adobe مثل Flash 9/10, Action Script 2/3, Flex…

الجدير بالذكر أن تطبيقات الفلاش كل يوم تزداد تطورا ويكاد لا يخلوا موقع منها, فهي لم تعد مجرد تصاميم أو عروض فلاشية ويتم استخدامها في العديد من الأمور مثل عرض مقاطع الفيديو والصوتيات, تصميم وبرمجة قوائم ونظام تسجيل دخول وحتى برامج متطورة وغرف محادثة منها بالصوت والصورة والكثير من التطبيقات الأخرى التي تجعلنا نهتم بحماية هذه التطبيقات بشكل أكبر من السابق.

هذه ليست أول أداة تقوم بهذه المهمة فأداة SWFIntruder من مشروع OWASP موجودة مسبقا لكن كما قلت سابقا تتميز هذه الأداة عن الأدوات الأخرى بحداثتها ومواكبتها للتطورات التي أحدثتها Adobe في منتجاتها. تقوم هذه الأداة بفحص ملف الفلاش بما يزيد عن 60 ثغرة, تبدأ عملها بتحليه واستخلاص أكواد Action Script الموجودة فيه ثم تختبر ملف الفلاش والأكواد من الثغرات المحتملة مثل ثغرات XSS, cross-domain privilege escalation, exposure of confidential data… ثم تقوم بعرض النتائج بشكل بسيط وتظهر السطر البرمجي الذي قد يسبب الثغرة مع بعض النصائح والحلول لاصلاحها كما لها القدرة على تصدير أكواد Action Script لاستخدامها في برامج أخرى واستخلاص الروابط الخارجية التي يستخدمها ملف الفلاش والكثير من الأمور الأخرى…

يمكن تحميل الأداة واختبارها من هنا (سيطلب منك تسجيل اسمك وايميلك ثم يظهر لك الرابط)

مزيد من المعلومات من احدى مدونات HP الخاصة بالحماية | فيديو يشرح كيفية استخدام الأداة

عن الكاتب:


عبدالمهيمن الآغا, مختص بالحماية وأساليب إختبار الإختراق. أملك خبرة في إدارة الشبكات والسيرفرات, تطوير المواقع والبرمجة بلغة Ruby التي برمجت بها عدّة مشاريع وأدوات مفتوحة المصدر.

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn