Sonar— новый инструмент для проверки веб-сайтов на уязвимости разработчиков Microsoft Edge — стал доступен как утилита, запускаемая из-под командной строки, или как общедоступный веб-сервис. Исходный Sonarпередан сообществу разработчиков с открытым кодом.
Редкая щедрость Microsoft
Разработчики браузера Microsoft Edge выпустили бесплатный инструмент под названием Sonar, предназначенный для анализа кода веб-сайтов на предмет проблем с безопасностью. Исходный код Sonar опубликован на GitHub под открытой лицензией. Дальнейшим его развитием программисты Microsoft будут заниматься вместе с участниками проекта JS Foundation.
Sonar позволяет проводить проверку кода веб-сайтов на присутствие программных ошибок, проблем с производительностью, доступностью и безопасностью.
На данный момент Sonar доступен как утилита, запускаемая из командной строки, а также открытый онлайн-сервис, работающий поверх облака Azure и позволяющий сканировать любой публичный сайт.
Свойства Sonar
Как указывается в описании Sonar, этот пакет позволяет производить тестовое исполнение всего кода веб-сайта, а не только статическую проверку. Кроме того, заявлен гибкий и современный набор правил, проведение параллельных тестов и интеграция с другими сервисами. В частности, он может работать вместе с aXe Core, AMP validator, snyk.io, SSL Labs и Cloudinary.
Sonarпоможет выявить, уязвим ли сайт перед MitM-атаками при использовании HTTPS-соединений. Подобный сценарий может осуществляться, если такие соединения не используют заголовок Strict-Transport-Security. Кроме того, Sonar проверяет, заданы ли в заголовке set-cookie header атрибуты Secure и HttpOnly — во избежание XSS-атак.
Новый инструмент Microsoft также способен выявлять подверженность сайтов MIME-сниффингу и выяснять, уязвимы ли библиотеки или фреймворки JavaScript, используемые сайтом. Для этого используются база данных уязвимостей Snyk и js-library-detector.
С помощью Sonar можно застраховаться от утечек данных через заголовки и предотвратить перенаправление на вредоносные сайты.
Комментарий эксперта
«Веб-сайты, особенно публичные, — одна из самых любимых “точек входа” для кибервзломщиков. Сайт будут атаковать в первую очередь, — отмечает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — Поэтому использование таких инструментов как Sonar — насущная необходимость для разработчиков. Остается только приветствовать, что Microsoft сделала свою разработку бесплатной для пользователей и оставила сообществу Open Source возможность совершенствовать его в дальнейшем».