+38/050/370-3627
+38/067/502-3306
+38/044/257-2444
Новини

Sonar – новий інструмент Microsoft для перевірки веб-сайтів на вразливості

Розробники браузера Microsoft Edge випустили безкоштовний інструмент під назвою Sonar, призначений для аналізу коду веб-сайтів щодо проблем з безпекою. Вихідний код Sonar опубліковано на GitHub під відкритою ліцензією. Подальшим його розвитком програмісти Microsoft займатимуться разом із учасниками проекту JS Foundation.

Sonar дозволяє проводити перевірку коду веб-сайтів на наявність програмних помилок, проблем з продуктивністю, доступністю та безпекою.

На даний момент Sonar доступний як утиліта, що запускається з командного рядка, а також відкритий онлайн-сервіс, що працює поверх хмари Azure і дозволяє сканувати будь-який публічний сайт.

Властивості Sonar

Як вказується в описі Sonar, цей пакет дозволяє виконувати тестове виконання всього коду веб-сайту, а не тільки статичну перевірку. Крім того, заявлений гнучкий та сучасний набір правил, проведення паралельних тестів та інтеграція з іншими сервісами. Зокрема, він може працювати разом з aXe Core, AMP validator, snyk.io, SSL Labs та Cloudinary.

Sonar допоможе виявити, чи вразливий сайт перед MitM-атаками під час використання HTTPS-з'єднань. Такий сценарій може здійснюватися, якщо такі з'єднання не використовують заголовок Strict-Transport-Security. Крім того, Sonar перевіряє, чи задані в заголовку set-cookie header атрибути Secure і HttpOnly - щоб уникнути XSS-атак.

Новий інструмент Microsoft також здатний виявляти схильність сайтів MIME-сніффінгу і з'ясовувати, чи вразливі бібліотеки або фреймворки JavaScript, що використовуються сайтом. Для цього використовуються база даних уразливостей Snyk та js-library-detector.

За допомогою Sonar можна застрахуватися від витоків даних через заголовки та запобігти перенаправленню на шкідливі сайти.

Інші новини