Abo
  • IT-Karriere:

Mozilla Minion: Sicherheitslücke in Web-Apps automatisch finden

Mozilla arbeitet an einem Minion genannten Framework, mit dem sich Sicherheitstests für Web-Apps automatisieren lassen sollen. Jeder soll so mit einem Klick Sicherheitslücken finden können.

Artikel veröffentlicht am ,
Entwickler sollen Apps selbst auf Sicherheitslücken untersuchen.
Entwickler sollen Apps selbst auf Sicherheitslücken untersuchen. (Bild: Mozilla)

Minion soll Sicherheitsteams entlasten und Entwickler in die Lage versetzen, ihre Web-Apps selbst auf Sicherheitslücken zu untersuchen. Mit einem Klick sollen sich unterschiedliche Testwerkzeuge starten und die Ergebnisse aller eingebundenen Werkzeuge zusammenfassen lassen. Mittels Plugins lässt sich Minion erweitern, so dass jedes Sicherheitsteam in der Lage sein soll, das Framework nach den eigenen Vorstellungen anzupassen.

Stellenmarkt
  1. itsc GmbH, Hannover
  2. Hays AG, Großraum Frankfurt

Eine frühe Version kann als Webdienst von Mozillas Mitarbeitern bereits genutzt werden, der Code steht aber zugleich als Open Source auf Github für alle zur Verfügung. Noch ist Minion aber nicht einmal im Kern fertig, weshalb Mozilla es auch noch nicht offiziell ankündigt. Yvan Boily, der die Idee für Minion hatte, beschreibt die Ziele und die Funktionsweise von Minion in einem Blogeintrag sowie in einem Vortrag, der im Netz zu finden ist.

Derzeit gibt es Minion-Plugins für ZAP, Skipfish, Garmr und Nmap. Die einzelnen Tests können auf dem gleichen System wie Minion ausgeführt, aber auch auf mehrere virtuelle Maschinen verteilt werden.

Die Ergebnisse aller unterstützten Werkzeuge soll Minion in ein einheitliches, abstraktes Format wandeln, so dass die Ergebnisse leicht zusammen aufbereitet werden können, ohne dass für einen neuen Test Anpassungen an den Berichten notwendig sind. Auch die Integration von Source-Code-Scans ist geplant. Zudem sollen die Ergebnisse der Scans künftig direkt in Bugtracking-Systeme einfließen können. Minion selbst bietet dazu ein umfassendes REST-API an.

Damit auf Minion basierte Dienste nicht für Angriffe genutzt werden, soll es notwendig sein, dass Websitebetreiber einen Sicherheitsscan ausdrücklich für den jeweiligen Scanner freischalten müssen. Dennoch lässt sich das System natürlich auch für Angriffe nutzen, lässt sich eine solche Prüfung doch leicht im Quellcode eliminieren und ein eigener Dienst aufsetzen.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de

storm 19. Jan 2013

Mal abgesehen davon, dass dein Beitrag komplett am Thema des Artikels vorbeigeht, ist es...


Folgen Sie uns
       


Lenovo Thinkbook 13s - Test

Das Thinkbook wirkt wie eine Mischung aus teurem Thinkpad und preiswerterem Ideapad. Das klasse Gehäuse und die sehr gute Tastatur zeigen Qualität, das Display und die Akkulaufzeit sind die Punkte, bei denen gespart wurde.

Lenovo Thinkbook 13s - Test Video aufrufen
Programmiersprache: Java 13 bringt mehrzeilige Strings mit Textblöcken
Programmiersprache
Java 13 bringt mehrzeilige Strings mit Textblöcken

Die Sprache Java steht im Ruf, eher umständlich zu sein. Die Entwickler versuchen aber, viel daran zu ändern. Mit der nun verfügbaren Version Java 13 gibt es etwa Textblöcke, mit denen sich endlich angenehm und ohne unnötige Umstände mehrzeilige Strings definieren lassen.
Von Nicolai Parlog

  1. Java Offenes Enterprise-Java Jakarta EE 8 erschienen
  2. Microsoft SQL-Server 2019 bringt kostenlosen Java-Support
  3. Paketmanagement Java-Dependencies über unsichere HTTP-Downloads

Elektrautos auf der IAA: Die Gezeigtwagen-Messe
Elektrautos auf der IAA
Die Gezeigtwagen-Messe

IAA 2019 Viele klassische Hersteller fehlen bei der IAA oder zeigen Autos, die man längst gesehen hat. Bei den Elektroautos bekommen alltagstaugliche Modelle wie VW ID.3, Opel Corsa E und Honda E viel Aufmerksamkeit.
Ein Bericht von Dirk Kunde

  1. Elektromobilität Stromwirtschaft will keine Million öffentlicher Ladesäulen
  2. Umfrage Kunden fühlen sich vor Elektroautokauf schlecht beraten
  3. Batterieprobleme Auslieferung des e.Go verzögert sich

Geothermie: Wer auf dem Vulkan wohnt, muss nicht so tief bohren
Geothermie
Wer auf dem Vulkan wohnt, muss nicht so tief bohren

Die hohen Erwartungen haben Geothermie-Kraftwerke bisher nicht erfüllt. Weltweit setzen trotzdem immer mehr Länder auf die Wärme aus der Tiefe - nicht alle haben es dabei leicht.
Ein Bericht von Jan Oliver Löfken

  1. Nachhaltigkeit Jute im Plastik
  2. Nachhaltigkeit Bauen fürs Klima
  3. Autos Elektro, Brennstoffzelle oder Diesel?

    •  /