سونار ابزار مایکروسافت برای کشف آسیب پذیری سایت

می خواین بدونین که سایت جدیدتون از جدیدترین کدهای برنامه نویسی استفاده میکرد؟ خبر خوب اینکه طراحان مرورگر اج مایکروسافت موفق به طراحی وسیله جدیدی با نام «سونار» ( sonar ) شدن که میتونه کارکرد و امنیت سایت شما رو به طور دقیق و تخصصی بررسی کنه.

سونار به وسیله گروه اِج مایکروسافت به صورت متن باز پیشرفته و به بنیاد جاوا اسکریپت اعطا شده. مایکروسافت بازم به پیشرفت این پروژه ادامه میده، اما مشارکتای خارجی رو هم قبول می کنه. سونار طیف خیلی از مسائل از جمله مسائل مربوط به کارآیی، توانایی دسترسی، امنیت، برنامه های وب پیشرفته، و توانایی همکاری رو مورد بررسی قرار میده.

سونار ژوئیه امسال اول به عنوان یه پروژه اهدایی به جاوا اسکریپت معرفی شده بود و حال همه آدمایی که هر نوع سایتی از سایتای اینترانت ( Intranet ) گرفته تا فروشگاه های آنلاین رو مدیریت و اداره می کنن، می تونن از این وسیله استفاده کنن. مایکروسافت از برنامه نویسان واسه پیشرفت هرچه بیشتر این وسیله دعوت به عمل آورده.

علاقه مندان با ورد به سایت سونار و وارد کردن نشانی وبسایتشان می تونن این وسیله رو به کارگرفته و به وسیله اون کارکرد، امنیت، قابلیتا، دسترسی و مشکلات مربوط به اپلیکیشنای تحت وب رو به طور دقیق بررسی و آزمایش کنن. پس از اینکه بررسیای لازم انجام شد، سونار اول لیست خطاهای یافت شده رو اعلام و دلایل اتفاق افتادن اونا رو به طور کامل میگه و هم اینکه با هایلایت کردن قطعه کدهای اشتباه، راه های ممکن جهت حل اونا رو هم ارائه می کنه.

مشکلات

در مورد امنیت، سونار ۸ نوع آسیب پذیری از جمله مشکلات پیکربندی SSL رو با به کار گیری آزمایش کارگزار SSL مربوط به آزمایشگاهای SSL مورد بررسی قرار میده.

آزمایش دیگری به دنبال اتصالات HTTPSه که از سازوکار انتقال اطلاعات با امنیت بالا استفاده نمی کنن، که اطمینان حاصل کنه یه وب گاه فقط می تونه از راه ارتباطات ایمن قابل دسترسی باشه تا از حملات مرد میانی جلوگیری شه.

پیشرفت دهندگان هم اینکه می تونن فهمیده باشن که برنامه ها یا وب گاه هاشون در برابر حملات بر اساس شنودMIME  ضعیف هستن یا خیر. شنودMIME  به مرروگرها اجازه میده که قالبای پرونده رو شناسایی کنن، حتی اگه نوع رسانه اشتباه باشه. با این که شنود MIME فایده هایی داره، اما هم اینکه خطرات امنیتی رو هم معرفی می کنه که اگه وب گاه از گزینه های نوع محتوای X: عنوان جواب nosniff HTTP استفاده کنه، این خطرات می تونن کم بشن.

ایده

سونار هم اینکه بررسی می کنه که سرآیند تنظیم کوکی ویژگیای HttpOnly و ایمن رو معرفی می کنه یا خیر، که با اطمینان از این که کوکیا نمی تونن در سرتاسر HTTP منتقل شن و مقادیر اونا نمی تونن از راه جاوا اسکریپت قابل دسترس باشن، از سرقت نشست به وسیله حملات تزریق اسکریپت از راه وب گاه یا XSS جلوگیری می کنه.

یکی دیگه از ویژگیای به درد بخور امنیتی اینه که اگه وب بعضی وقتا یه چارچوب یا کتابخونه جاوا اسکریپت ضعیف رو در سمت کارخواه اجرا کنه، سونار می تونه تشخیص بده. این کار با به کار گیری پایگاه داده آسیب پذیری Snyk و کشف کننده کتابخونه جاوا اسکریپت انجام می شه.

«آنتون مونتلا» مدیر ارشد برنامه نویسی مایکروسافت اج درباره این وسیله گفته که سونار به جای اینکه کدهای سایت رو فقط بررسی کنه، اونا رو به صورت جداگونه اجرا می کنه تا بتونه یافته های دقیق تری رو کسب کرده و هم اینکه از این روش کارکرد و ظرفیت سایت کاربران رو زیاد کنه.

سونار الان از راه نشانی https://sonarwhal.com/scanner قابل دسترسیه و تا همین چند وقت دیگه که خیلی هم دور نیس به ویژگیای جدیدتری هم مجهز می شه که از جمله اونا به پلاگینای مختص کدهای ویژوال استودیو، اعمال تغییرات دلخواه در اپلیکیشنای تحت وب و پیشتیبانی از ویژگیای جدید جهت تست دقیق تر امنیت، کارکرد و دسترسی وبسایتا میشه اشاره کرد.

اگه سایت شما مخصوصا سایت کار و کاسبی تون امنیت بالاتری داشته باشه هم واسه برند شما مفیدتره هم از دید سئو موفق تر.

منبع:news.asis.io – جامعه مهندسان ایران