Проект Mozilla представил Minion, платформу для автоматизированного тестирования безопасности кода

30.07.2013 22:27

Сообщество Mozilla анонсировало два новых проекта: Minion и Peach. Minion представляет собой модульную платформу для организации проведения автоматизированного тестирования продуктов на предмет наличия потенциальных проблем с безопасностью. Проект Peach, развиваемый совместно с компанией BlackBerry, является фреймворком для организации fuzzing-тестирования браузеров. Код компонентов Minion написан на языке Python и распространяется под лицензией MPL. Исходные тексты Peach написаны на языке C# и доступны под лицензией MIT.

В процессе своей работы Peach выполняет серию подготовленных тестировщиками fuzzing-тестов, рассчитанных на проверку web-браузеров и симулирующих различные случайные комбинации входных данных. Например, проверяется обработка HTML-страниц со случайной комбинацией тегов и их параметров, в основной массе с некорректным применением аргументов. Сбой или крах при выполнении тестирования с высокой долей вероятности может свидетельствовать об ошибке или уязвимости. Peach уже активно используется для выявления в Firefox проблем с обработкой различных типов изображений, аудио и видео форматов, шрифтов, обращения к мультимедийным API, таким как WebGL и WebAudio, взаимодействия по протоколу WebRTC.

Minion является не привязанной к конкретным тестам универсальной платформой для автоматизации выполнения тестирования и упрощения деятельности разработчиков по проверке безопасности разрабатываемого кода. Идея проекта в предоставлении разработчикам приложений простых и понятных средств для тестирования, не требующих привлечения экспертов по безопасности. Различные сценарии тестирования оформляются в виде плагинов. Для управления процессом тестирования предлагается использовать специальный web-интерфейс на базе Flask и Angular.js.

Для начала тестирования своего web-приложения (уже размещённого на сервере) разработчику достаточно подключиться к сервису и инициировать процесс сканирования возможных проблем, выбрав уже подготовленные сценарии проведения тестирования. В настоящее время доступны такие методы проверки, как fuzzing-тестирование с использованием Skipfish, сканирование портов через nmap, использование Zed Attack Proxy для проверки на стойкость к типовым атакам, таким как подстановка SQL-кода или HTML-тегов. Каждый плагин выполняет определённую проверку, обращаясь по сети к целевому серверу или web-приложению, после чего возвращает результат в менеджер выполнения заданий, который координирует запуск плагинов. Кроме web-интерфейса тестирование может быть инициировано через специальный API, что позволяет интегрировать поддержку Minion в интегрированные среды разработки и различные сторонние инструментарии.

исправить +9 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/37551-fuzzing

Ключевые слова: fuzzing, minion, mozilla

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (15)

1.1, хрюкотающий зелюк (?), 23:03, 30/07/2013 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Нужно! (кому-то, не мне, но 100% нннада)

1.2, noize (ok), 23:03, 30/07/2013 [ответить] [﹢﹢﹢] [ · · · ]	+6 +/–
круто, они запилили свой дженкинс с питоном и шлюхами

2.4, виндотролль (ok), 00:32, 31/07/2013 [^] [^^] [^^^] [ответить]	+3 +/–
> с питоном и шлюхами вообще-то с питоном и C#, но метафора мне понравилась

2.14, rshadow (ok), 15:49, 31/07/2013 [^] [^^] [^^^] [ответить]	–1 +/–
Java -> питон прогресс уже хороший. Если на третьей итерации за дело возьмется кто нибудь поприличнее питоновцев то может тема данного софта будет закрыта.

1.3, Аноним (-), 00:12, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
прикольно. еще не продукт IBM но уже что-то наппоминающее используемое NVidia или Cray.

2.7, Аноним (-), 02:10, 31/07/2013 [^] [^^] [^^^] [ответить]	–1 +/–
Что, у них тоже стремный крап на питоне с сишарпом есть? Хотя стоп, это же энтерпрайз! Хотя у IBM наверное все-таки на яве, а? :)

3.15, Аноним (-), 20:37, 31/07/2013 [^] [^^] [^^^] [ответить]	+/–
неа, там RabbitMQ, те Erlang, правда нативный, без OTP JIP(бинарники с выхлопа HiPerf OTP).

1.5, all_glory_to_the_hypnotoad (ok), 01:11, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
гогнокодеры, c# и безопасность. Да, очень смешно

2.6, aaa (??), 01:59, 31/07/2013 [^] [^^] [^^^] [ответить]	+/–
это не "защищялка", а "ломалка"...

2.8, Lain_13 (ok), 02:20, 31/07/2013 [^] [^^] [^^^] [ответить]	+/–
А не пофиг на чём написан фаззер? Главное на сколько успешно он справляется с задачей. Тут, скорее, может возникнуть проблема в скорости его работы.

3.11, Аноним (-), 09:40, 31/07/2013 [^] [^^] [^^^] [ответить]	+/–
Нет. Гл авное, гр амотно, пис ать нафоруме.

1.10, медведдд (ok), 08:24, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
"развиваемый совместно с компанией BlackBerry" Это у той самой, которая всю твою почту на свои серваки перекачивает? Подозрительно-с...

2.13, Васильева (?), 14:03, 31/07/2013 [^] [^^] [^^^] [ответить]	+2 +/–
Ставь сервак себе и будет на твои. И впредь, сначала думаем, потом говорим

1.12, ещё один (?), 11:15, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
ура!!! больше можно совсем не думать о безопасности при написании кода!!! эта софтина выполнит эту работу за меня!

1.16, lucentcode (ok), 22:07, 03/08/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Печально. Писать открытое ПО на C# как-то не правильно. В любой момент Mono могут прижать к ногтю, и тогда данное ПО будет работать только на одной ОС.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: