Mozilla Minion: Sicherheitslücke in Web-Apps automatisch finden
Entwickler sollen Apps selbst auf Sicherheitslücken untersuchen. (Bild: Mozilla)

Mozilla Minion Sicherheitslücke in Web-Apps automatisch finden

Mozilla arbeitet an einem Minion genannten Framework, mit dem sich Sicherheitstests für Web-Apps automatisieren lassen sollen. Jeder soll so mit einem Klick Sicherheitslücken finden können.

Anzeige

Minion soll Sicherheitsteams entlasten und Entwickler in die Lage versetzen, ihre Web-Apps selbst auf Sicherheitslücken zu untersuchen. Mit einem Klick sollen sich unterschiedliche Testwerkzeuge starten und die Ergebnisse aller eingebundenen Werkzeuge zusammenfassen lassen. Mittels Plugins lässt sich Minion erweitern, so dass jedes Sicherheitsteam in der Lage sein soll, das Framework nach den eigenen Vorstellungen anzupassen.

Eine frühe Version kann als Webdienst von Mozillas Mitarbeitern bereits genutzt werden, der Code steht aber zugleich als Open Source auf Github für alle zur Verfügung. Noch ist Minion aber nicht einmal im Kern fertig, weshalb Mozilla es auch noch nicht offiziell ankündigt. Yvan Boily, der die Idee für Minion hatte, beschreibt die Ziele und die Funktionsweise von Minion in einem Blogeintrag sowie in einem Vortrag, der im Netz zu finden ist.

Derzeit gibt es Minion-Plugins für ZAP, Skipfish, Garmr und Nmap. Die einzelnen Tests können auf dem gleichen System wie Minion ausgeführt, aber auch auf mehrere virtuelle Maschinen verteilt werden.

Die Ergebnisse aller unterstützten Werkzeuge soll Minion in ein einheitliches, abstraktes Format wandeln, so dass die Ergebnisse leicht zusammen aufbereitet werden können, ohne dass für einen neuen Test Anpassungen an den Berichten notwendig sind. Auch die Integration von Source-Code-Scans ist geplant. Zudem sollen die Ergebnisse der Scans künftig direkt in Bugtracking-Systeme einfließen können. Minion selbst bietet dazu ein umfassendes REST-API an.

Damit auf Minion basierte Dienste nicht für Angriffe genutzt werden, soll es notwendig sein, dass Websitebetreiber einen Sicherheitsscan ausdrücklich für den jeweiligen Scanner freischalten müssen. Dennoch lässt sich das System natürlich auch für Angriffe nutzen, lässt sich eine solche Prüfung doch leicht im Quellcode eliminieren und ein eigener Dienst aufsetzen.


storm 19. Jan 2013

Mal abgesehen davon, dass dein Beitrag komplett am Thema des Artikels vorbeigeht, ist es...

Kommentieren



Anzeige

  1. Systems Engineer / Systemingenieur Production IT (m/w)
    Sandvik Holding GmbH, Frankfurt am Main
  2. Senior System Architect (m/w)
    Siemens AG, München
  3. IT-Systemanalytiker (m/w)
    Schuberth Group, Magdeburg
  4. Scrum Master (m/w)
    NEMETSCHEK Allplan Systems GmbH, München

 

Detailsuche


Folgen Sie uns
       


  1. Electronic Arts

    Battlefield Hardline auf Anfang 2015 verschoben

  2. Schlafmonitor

    Besser schlafen mit Sense

  3. Videostreaming

    Youtube-Problem war ein Bug bei Google

  4. Prozessor inklusive Speicher

    Kommende APUs mit Stacked Memory und mehr Bandbreite

  5. Statt Codeplex

    Typescript mit neuem Compiler auf Github

  6. Asus RT-AC87

    Schnellster Router der Welt funkt mit vier Antennen

  7. Arbeit

    Vier von zehn Beschäftigten nutzen Homeoffice

  8. Solarauto

    Neuer Langstreckenrekord für Elektroautos

  9. LG 34UM95 im Test

    Ultra-Widescreen-Monitor für 3K-Gaming

  10. LG G3

    Update soll die Akkulaufzeit verbessern



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Türen geöffnet: Studenten "hacken" Tesla Model S
Türen geöffnet
Studenten "hacken" Tesla Model S
  1. Model III Tesla kündigt günstigeres Elektroauto an
  2. IMHO Kampfansage an das Patentsystem
  3. Elektroautos Tesla gibt seine Patente zur Nutzung durch andere frei

Programmcode: Ist das Kunst?
Programmcode
Ist das Kunst?
  1. Suchmaschinen Deutsche IT-Branche hofft auf Ende von Googles Vorherrschaft
  2. Quartalsbericht Google steigert Umsatz um 22 Prozent
  3. Project Zero Google baut Internet-Sicherheitsteam auf

Android L im Test: Google verflacht Android
Android L im Test
Google verflacht Android
  1. Android L Keine Updates für Entwicklervorschau geplant
  2. Inoffizieller Port Android L ist für das Nexus 4 verfügbar
  3. Android L Cyanogenmod entwickelt nicht anhand der Entwicklervorschau

    •  / 
    Zum Artikel