Entwickler sollen Apps selbst auf Sicherheitslücken untersuchen.
Entwickler sollen Apps selbst auf Sicherheitslücken untersuchen. (Bild: Mozilla)

Mozilla Minion Sicherheitslücke in Web-Apps automatisch finden

Mozilla arbeitet an einem Minion genannten Framework, mit dem sich Sicherheitstests für Web-Apps automatisieren lassen sollen. Jeder soll so mit einem Klick Sicherheitslücken finden können.

Anzeige

Minion soll Sicherheitsteams entlasten und Entwickler in die Lage versetzen, ihre Web-Apps selbst auf Sicherheitslücken zu untersuchen. Mit einem Klick sollen sich unterschiedliche Testwerkzeuge starten und die Ergebnisse aller eingebundenen Werkzeuge zusammenfassen lassen. Mittels Plugins lässt sich Minion erweitern, so dass jedes Sicherheitsteam in der Lage sein soll, das Framework nach den eigenen Vorstellungen anzupassen.

Eine frühe Version kann als Webdienst von Mozillas Mitarbeitern bereits genutzt werden, der Code steht aber zugleich als Open Source auf Github für alle zur Verfügung. Noch ist Minion aber nicht einmal im Kern fertig, weshalb Mozilla es auch noch nicht offiziell ankündigt. Yvan Boily, der die Idee für Minion hatte, beschreibt die Ziele und die Funktionsweise von Minion in einem Blogeintrag sowie in einem Vortrag, der im Netz zu finden ist.

Derzeit gibt es Minion-Plugins für ZAP, Skipfish, Garmr und Nmap. Die einzelnen Tests können auf dem gleichen System wie Minion ausgeführt, aber auch auf mehrere virtuelle Maschinen verteilt werden.

Die Ergebnisse aller unterstützten Werkzeuge soll Minion in ein einheitliches, abstraktes Format wandeln, so dass die Ergebnisse leicht zusammen aufbereitet werden können, ohne dass für einen neuen Test Anpassungen an den Berichten notwendig sind. Auch die Integration von Source-Code-Scans ist geplant. Zudem sollen die Ergebnisse der Scans künftig direkt in Bugtracking-Systeme einfließen können. Minion selbst bietet dazu ein umfassendes REST-API an.

Damit auf Minion basierte Dienste nicht für Angriffe genutzt werden, soll es notwendig sein, dass Websitebetreiber einen Sicherheitsscan ausdrücklich für den jeweiligen Scanner freischalten müssen. Dennoch lässt sich das System natürlich auch für Angriffe nutzen, lässt sich eine solche Prüfung doch leicht im Quellcode eliminieren und ein eigener Dienst aufsetzen.


storm 19. Jan 2013

Mal abgesehen davon, dass dein Beitrag komplett am Thema des Artikels vorbeigeht, ist es...

Kommentieren



Anzeige

  1. Teamleiter/-in ITIL-Service-Support-Prozesse
    Dataport, Hamburg
  2. Webentwickler PHP / MySQL (m/w)
    Guest-One GmbH, Wuppertal
  3. ERP Consultants (m/w)
    Allgeier IT Solutions GmbH, Essen, Köln, Hamburg, Bremen
  4. Referatsleiter/in ABS Workflow and Batch Services in ABS Cross Functional Services
    Allianz Managed Operations & Services SE, Stuttgart

 

Detailsuche


Folgen Sie uns
       


  1. Kaspersky Lab

    Cyberwaffe Regin griff Mobilfunk-Basisstationen an

  2. Halbleiterforschung

    Neuer Memristor kann zehn Zustände speichern

  3. Transpiler

    Googles Inbox zu zwei Dritteln plattformübergreifender Code

  4. Fujifilm

    Fotobuch mit integriertem Touchscreen

  5. Teardown

    Nexus 6 kommt mit wenig Kleber aus

  6. Pinc VR

    Virtuelle Realität mit Gestensteuerung für das iPhone 6

  7. Linux-Distribution

    Less ist ein mögliches Einfallstor

  8. Mobilfunktarif

    Spotify Family ist bei der Telekom nicht nutzbar

  9. Test Escape Dead Island

    Urlaub auf der Zombieinsel

  10. Compute Stick

    Intels HDMI-Stick kommt noch 2014



Haben wir etwas übersehen?

E-Mail an news@golem.de



Next-Gen-Geburtstag: Xbox One und Playstation 4 sind eins
Next-Gen-Geburtstag
Xbox One und Playstation 4 sind eins
  1. Big Fish Games Bis zu 885 Millionen US-Dollar für Casualgames-Anbieter
  2. This War of Mine Das traurigste Spiel des Jahres
  3. Qbert & Co 901 Spielhallenklassiker im Onlinearchiv

Smarthome: Das intelligente Haus wird nie fertig
Smarthome
Das intelligente Haus wird nie fertig
  1. Smart Home Das vernetzte Zuhause hilft beim Energiesparen
  2. Leuchtmittel Die Leuchtdiode kommt aus dem 3D-Drucker
  3. Agora, Energy@home und EEBus Einheitliche Sprache für europäische Smart Homes

Elektronikdiscounter: Wie Preisvergleichsdienste ausgehebelt werden
Elektronikdiscounter
Wie Preisvergleichsdienste ausgehebelt werden
  1. MFAA Nvidias temporale Kantenglättung kann mehr
  2. Akoya P5395D Effizienter und günstiger Spiele-PC von Medion
  3. Piixl G-Pack Der 2-Zoll-Huckepack-Spiele-PC fürs Wohnzimmer

    •  / 
    Zum Artikel