Original-URL des Artikels: http://www.golem.de/news/mozilla-minion-sicherheitsluecke-in-web-apps-automatisch-finden-1301-96999.html    Veröffentlicht: 18.01.2013 09:55

Mozilla Minion

Sicherheitslücke in Web-Apps automatisch finden

Mozilla arbeitet an einem Minion genannten Framework, mit dem sich Sicherheitstests für Web-Apps automatisieren lassen sollen. Jeder soll so mit einem Klick Sicherheitslücken finden können.

Minion soll Sicherheitsteams entlasten und Entwickler in die Lage versetzen, ihre Web-Apps selbst auf Sicherheitslücken zu untersuchen. Mit einem Klick sollen sich unterschiedliche Testwerkzeuge starten und die Ergebnisse aller eingebundenen Werkzeuge zusammenfassen lassen. Mittels Plugins lässt sich Minion erweitern, so dass jedes Sicherheitsteam in der Lage sein soll, das Framework nach den eigenen Vorstellungen anzupassen.

Eine frühe Version kann als Webdienst von Mozillas Mitarbeitern bereits genutzt werden, der Code steht aber zugleich als Open Source auf Github für alle zur Verfügung. Noch ist Minion aber nicht einmal im Kern fertig, weshalb Mozilla es auch noch nicht offiziell ankündigt. Yvan Boily, der die Idee für Minion hatte, beschreibt die Ziele und die Funktionsweise von Minion in einem Blogeintrag sowie in einem Vortrag, der im Netz zu finden ist.

Derzeit gibt es Minion-Plugins für ZAP, Skipfish, Garmr und Nmap. Die einzelnen Tests können auf dem gleichen System wie Minion ausgeführt, aber auch auf mehrere virtuelle Maschinen verteilt werden.

Die Ergebnisse aller unterstützten Werkzeuge soll Minion in ein einheitliches, abstraktes Format wandeln, so dass die Ergebnisse leicht zusammen aufbereitet werden können, ohne dass für einen neuen Test Anpassungen an den Berichten notwendig sind. Auch die Integration von Source-Code-Scans ist geplant. Zudem sollen die Ergebnisse der Scans künftig direkt in Bugtracking-Systeme einfließen können. Minion selbst bietet dazu ein umfassendes REST-API an.

Damit auf Minion basierte Dienste nicht für Angriffe genutzt werden, soll es notwendig sein, dass Websitebetreiber einen Sicherheitsscan ausdrücklich für den jeweiligen Scanner freischalten müssen. Dennoch lässt sich das System natürlich auch für Angriffe nutzen, lässt sich eine solche Prüfung doch leicht im Quellcode eliminieren und ein eigener Dienst aufsetzen.  (ji)


Verwandte Artikel:
Cnet: Download.com verteilt Nmap mit "trojanischem Installer"   
(07.12.2011 11:11, http://www.golem.de/1112/88247.html)
Java 7 Update 11: Neuer Java-Exploit offenbar im Umlauf   
(17.01.2013 11:05, http://www.golem.de/news/java-7-update-11-neuer-java-exploit-offenbar-im-umlauf-1301-96974.html)
Galaxy Note 10.1 und Galaxy Note 2: Patch für Sicherheitslücke in Exynos-Treibern   
(17.01.2013 08:31, http://www.golem.de/news/galaxy-note-10-1-samsung-patch-beseitigt-sicherheitsluecke-in-exynos-treibern-1301-96969.html)
Sicherheitsloch im Internet Explorer: Microsoft bringt Patch außer der Reihe   
(14.01.2013 08:34, http://www.golem.de/news/sicherheitsloch-im-internet-explorer-microsoft-bringt-patch-ausser-der-reihe-1301-96894.html)
Java SE 7 Update 11: Oracle schließt Java-Lücke   
(14.01.2013 08:08, http://www.golem.de/news/java-se-7-update-11-oracle-schliesst-java-luecke-1301-96893.html)

© 2014 by Golem.de