Gratis hulpprogramma van HP-scans op kwetsbaarheden in Flash

Hewlett-Packard heeft heeft een gratis ontwikkelhulpmiddel uitgebracht dat kwetsbaarheden in Flash vindt, de veelgebruikte, maar incidenteel interactieve webtechnologie van Adobe System.

De tool, SWFScan, is ontworpen voor ontwikkelaars zonder beveiligingsachtergronden, aldus het bedrijf op een van zijn blogs. Het is gebouwd door HP's Web Security Research Group.

HP zei dat SWFScan andere hulpprogramma's die problemen met Flash kunnen herkennen, zoals Flare en SWFIntruder, samenvoegt. Maar HP zei dat SWFScan de enige is die kan worden gebruikt met Flash-versies 9 en 10; ActionScript 3, de scripttaal van Flash; en Flex, een open-source webtoepassingsraamwerk dat door Adobe wordt gebruikt.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

SWFScan zal ActionScript 2 en 3 in de originele broncode decompileren en statische analyse uitvoeren, op zoek voor meer dan 60 kwetsbaarheden, waaronder gegevenslekken, cross-site scripting-kwetsbaarheden en escalatie van escalatie tussen domeinen, zei HP.

De tool wijst op lastige regels in de broncode en geeft ook advies over herstel. Het formatteert een beveiligingsrapport en staat de export van broncode voor werk in andere hulpmiddelen toe, zei HP.

HP zei dat het SWFScan op ongeveer 4.000 Flash-toepassingen heeft getest en dat 35 procent de beste beveiligingspraktijken van Adobe heeft geschonden. Zestien procent van de applicaties voor Flash Player 8 en eerder bevatten cross-site scripting-kwetsbaarheden. Vijftien procent van die toepassingen met aanmeldingsformulieren had gebruikersnamen of wachtwoorden die hard in de toepassing waren gecodeerd, zei HP.

HP waarschuwde dat de tool alleen kijkt naar het gedeelte van een Flash-toepassing die in een browser wordt uitgevoerd en niet naar die gedeelten die worden uitgevoerd een server.