Gratis verktøy fra HP Scans for Flash Vulnerabilities

Hewlett-Packard har utgitt et gratis utviklingsverktøy som finner sikkerhetsproblemer i Flash, Adobe Systems utbredt, men av og til buggy interaktiv webteknologi.

Verktøyet, SWFScan, er utviklet for utviklere uten sikkerhetsbakgrunn, sa selskapet på en av sine blogger. Det ble bygget av HPs websikkerhetsforskergruppe.

HP sa SWFScan blir med andre verktøy som kan oppdage problemer med Flash, som Flare og SWFIntruder. Men HP sa SWFScan er den eneste som kan brukes med Flash versjoner 9 og 10; ActionScript 3, Flashs skriptspråk

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

SWFScan vil dekompilere ActionScript 2 og 3 i original kildekoden og utføre statisk analyse, se på for mer enn 60 sårbarheter, inkludert datalekkasje, sårbarheter på tvers av webområder, og eskalering på tvers av domene, sa HP.

Verktøyet fremhever plagsomme linjer i kildekoden og vil også gi avhjelpsråd. Det vil formatere en sårbarhetsrapport, samt tillate eksport av kildekoden for arbeid i andre verktøy, sa HP.

HP sa det testet SWFScan på noen 4.000 Flash-applikasjoner og fant at 35 prosent brøt Adobes beste sikkerhetspraksis. Seksten prosent av applikasjonene for Flash Player 8 og tidligere inneholdt sårbarheter på nettsiden. Femten prosent av disse programmene med påloggingsskjemaer hadde brukernavn eller passord hardkodet inn i programmet, sa HP.

HP varslet at verktøyet bare ser på den delen av et Flash-program som kjører i en nettleser, og ikke de delene som kjører på en server.