HP SWFScan لفحص وتحليل ملفات الفلاش

بسم الله الرحمن الرحيم والصلاة والسلام على نبينا وحبيبنا محمد صلى الله عليه وسلم

قبل عدة أيام أطلق فريق أمن تطبيقات الويب بشركة HP أداة مجانية جديدة تدعى SWFScan, تقوم هذه الأداة بتحليل ملفات الفلاش swf وفحصها في محاولة لاكتشاف الثغرات والأخطاء الأمنية الموجودة فيها. الأداة موجهة لمصممي العروض الفلاشية ومطوري المواقع بالدرجة الأولى كذلك الـ Pen-testers والمهتمين بأمن تطبيقات الويب وحمايتها.



تتميز هذه الأداة بحداثتها مقارنة مع الأدوات الأخرى وبسهولة استخدامها أيضا فهي لا تحتاج معرفة أو خبرة كبير في الثغرات والمشاكل الأمنية وكل ما يتطلب هو تحديد ملف الفلاش الذي تريد فحصه وستقوم الأداة بباقي العمل واخبارنا بالنتائج التي حصلت عليها كما أنها تدعم أحدث تقنيات شركة Adobe مثل Flash 9/10, Action Script 2/3, Flex...
الجدير بالذكر أن تطبيقات الفلاش كل يوم تزداد تطورا ويكاد لا يخلوا موقع منها, فهي لم تعد مجرد تصاميم أو عروض فلاشية ويتم استخدامها في العديد من الأمور مثل عرض مقاطع الفيديو والصوتيات, تصميم وبرمجة قوائم ونظام تسجيل دخول وحتى برامج متطورة وغرف محادثة منها بالصوت والصورة والكثير من التطبيقات الأخرى التي تجعلنا نهتم بحماية هذه التطبيقات بشكل أكبر من السابق.
هذه ليست أول أداة تقوم بهذه المهمة فأداة SWFIntruder من مشروع OWASP موجودة مسبقا لكن كما قلت سابقا تتميز هذه الأداة عن الأدوات الأخرى بحداثتها ومواكبتها للتطورات التي أحدثتها Adobe في منتجاتها. تقوم هذه الأداة بفحص ملف الفلاش بما يزيد عن 60 ثغرة, تبدأ عملها بتحليه واستخلاص أكواد Action Script الموجودة فيه ثم تختبر ملف الفلاش والأكواد من الثغرات المحتملة مثل ثغرات XSS, cross-domain privilege escalation, exposure of confidential data... ثم تقوم بعرض النتائج بشكل بسيط وتظهر السطر البرمجي الذي قد يسبب الثغرة مع بعض النصائح والحلول لاصلاحها كما لها القدرة على تصدير أكواد Action Script لاستخدامها في برامج أخرى واستخلاص الروابط الخارجية التي يستخدمها ملف الفلاش والكثير من الأمور الأخرى..

يمكن تحميل الأداة واختبارها من هنا

http://www.hp.com/go/swfscan


(سيطلب منك تسجيل اسمك وايميلك ثم يظهر لك الرابط)

وهذا فيديو يشرح كيفية استخدام الأداة

http://h30431.www3.hp.com/index.jsp?...1a5aeab8&rf=bm


تقبلو احترامي وتقديريبطلبطل