Microsoft izdevis web lapu drošības pārbaudes rīku Sonar

[samurajs]

Microsoft iepriecinājis visus webmāsterus un citus interesentus ar web lapu drošības pārbaudes rīku Sonar. Pats interesantākais ir tas, ka minētais rīks ir atvērtā koda produkts, un pēdējais publicēts vietnē GitHub. Turpmāk Microsoft attīstīšot Sonar kopā ar JS Foundation. Mājaslapu programmētāji var lietot komandrindu, bet visi pārējie – vienkāršu web saskarni.

Sonar strādā pēc cita principa nekā līdzīgi rīki: pārbaudes veic nevis statiskā režīmā, bet gan viss lapas kods tiek izpildīts un testēts uz kļūdām, kas var sekmēt MitM uzbrukumus utt. Testi var tikt veikti paralēli, ieskaitot integrāciju ar citiem servisiem. Tiek atbalstīti aXe Core, AMP validator, snyk.io, SSL Labs un Cloudinary. Skaneris atklāj programmatiskas, veiktspējas, pieejamības un drošības problēmas. Par katru kļūdu tiek piedāvāts skaidrojums.

Attēlā: kļūdas ir visiem, bet to skaits ir dažāds

[img]https://notepad.lv/userpix/28_npscan_1.jpg[/img]

[img]https://notepad.lv/userpix/28_delfisc_1.jpg[/img]

[Andron MacBeton]

Diez bez Internet Explorer pēdējās versijas strādā? 😀

[MeistarsUnVergs]

Ja tu nebūtu iesūnojis, kakains idejots tad saprastu ka ActiveX tur nav nepieciešams un attiecīgi IE nav nepieciešams. Uz Firefox strādā https://sonarwhal.com/scanner/90ec5f04-debd-4e8f-ba88-93bdfe235cc1

[Mr.Death]

Mhhhh, sjwedbankai 87 kljuudas, no kuraam 59 saistiitas ar drosjiibu :>

https://sonarwhal.com/scanner/f7faaba6-c358-488b-a573-6548f1de314f

SEB Ibankai – 109 kljuudas, 50 saistiitas ar drosjiibu

https://sonarwhal.com/scanner/ca168895-8870-4772-9d2c-102afcd793f8

Uz prieksju kakeri! :> Paraadiet man, kaa no sjii visa var tikt pie miljona, un es saaksju ticeet, ka sjis tuulis nav kaarteejais bullja-suudu-tipa-standartu ieviesjanas meegjinaajums. :>

[uldics]

Es arī neticu, ka kārtējais mēģinājums iebāzt savu zūdaino purnu jaunā lauciņā būtu sekmīgs. Tak nekad viņiem tas nav izdevies. Nu ja neskaita DOS. Tāds pat sesuritu kā Baradač. Ja bankām tur būtu tādi mega caurumi, tad mēs jau sen naudu bāztu matracī. Negribas arī ticēt, ka dajebkādu lapu viņiem iebaro un viņi visu redz, kas tur notiek. Tak pat frontendi var būt tik dažādi, kur nu vēl viss, kas notiek pakaļpusē, kam klāt īsti netiek.

[ruukjis]

Konspirasti. 😀

Kāds no jums vispār uz kļūdām apskatījās? Jums vajadzētu sajēgt, ka tas nav dzīvs cilvēks, kas to analīzi veic, bet tizls robotiņš.

MS gan arī haltūrē – varēja jau sadalīt, kas ir reāli kļūda un kas ir “laba prakse”, bankai tās drošības “kļūdas” vairāk ir ieteikumi, piemēram, exploitot nosniff hedera trūkumu bankas gadījuma ir praktiski nereāli, savukārt kādu līkāk kodētu lapu, kura ir pilna javu, gan var pamocīt.

Lai nu kā projekts nav slikts, katram pašam vajag izvērtēt cik nopietni skatīties uz tuļķa rezultātiem.

[Mr.Death]

ruukji, ir jaabuut tupam durvju cauruma jaaklim, lai domaatu, ka tur otraa pusee seezj cilveeku bars, kas veic analiizi tiem ntiem miljoniem saitu, kas sjobriid caur sjo savaarstiijumu tiek testeeti, mhhhh.

pastaav 100x nopietnaakas probleemas, uz kuraam tiesjaam ir veerts veerst uzmaniibu, nevis kaut kaads “noreferer” atribuuta, utf8 cjarseta definiicijas truukums, vai robotam netiikams bildes izmeers – sjaadas utis var mekleet citu meerkju peec – seo piemeeram.

JA sjii nebuutu kaarteejaa naudas atmazgaasjanas vai cjuusku elljas izplatiisjanas kampanja, mees pasjreizeejaa Sonar vietaa redzeetu tuuli, kas veic krietni nopietnaakus testus (konstatee ieprieksj notikusjas ielausjanaas faktu, meegjina uzlauzt automatizeeti saitu, vadoties peec izmantotaas platformas/serverprogrammatuuras) un prezentee lietotaajam patiesi noderiigu info – “Luuk, vadoties peec visu mums zinaamo caurummekleetaaju metodeem, mees ielauzaamies juusu saitaa, pasakiet Fedjam, Vasjam un Afrodiitei, lai savus administratora kontus turpmaak neaizsargaa ar qwerty123 tipa paroli un izveelas ko origjinaalaaku. Papildus lietotaaju izgliitosjanai, iesakaam jums lietot savaa saitaa kapcju, vai citu pret-botu mehaanismu un neizmantot izejas kodaa saites uz atteeliem, kas pie katra apmekleejuma tiek paarbuuveeti caur PHP dzineeju (bilde.php?id=janis&izmers=120×120&watermark=true u.tml), trataratatata…..”

Quote:

kādu līkāk kodētu lapu, kura ir pilna javu

0_0, vai dies ku taalu aizdomaajies. sjaubos vai taas lapas, kuraas ir java buus tik liikas, kaa katrs otrais WordPress saits ar admin/admin123 tipa pieejas datiem.

[ruukjis]

Es šeit nesaskatu neko no tavām konspirācijām – tas ir bezmaksas tuļķis, kuru tev neviens nespiež lietot, kura rezultātus vari interpretēt kā gribi. Kā tu tur saskati čūsku eļļu un naudas atmazgāšanu man nav skaidrs.

Javas lapa bija tikai piemērs, ja tev labpatīk vari atsaukties uz Wordpres, tas nemaina būtību.

[cesedy]

Š is arī automātiski izsūta e-pastus visus nosaucot par nedap*steņiem, ja atklāj kļūdas?

[Mr.Death]

nekaa personiiga ruukji, neiet runa par lietosjanas uzspiesjanu, bet mani aizskjiila rindas:

Quote:

Microsoft iepriecinājis visus webmāsterus un citus interesentus ar web lapu drošības pārbaudes rīku Sonar.

tur nav kam iepriecinaat, tiesji taapeec arii taads cepiens – tik nopietna korporaacija jau nu vareeja naakt klajaa ar kaut ko unikaalaaku, nevis kaarteejo atrazjojumu 100 citiem tuuljiem kaadi jau ir pieejami internetaa. arvienvaardsakot esmu viilies :>

[MeistarsUnVergs]

Nē, priekš tā ir domāts Liepājas Metalurga kopmītnēs PSRS norieta laikā uzp1stais DS jeb Dabīgais Stulbums, kurš šīs darbības veic automātiski.

[Autors]

Ieraksti