摘要:CanSecWest上发布了自己的免费开源的安全工具.名为!Exploitable(官方读作:砰!Exploit)以WinDebugger的插件形式发布,可以帮助分析(PE)程序的漏洞.该程序能够利用被微软称为主要hash和次要hash的两组特征值为崩溃信息分类,将同一缺陷引起崩溃的分为一类. |
微软的模糊技术程序主管Shirk表示该程序可以帮助研究员们定义可利用性,告诉我们要如何讨论这些问题,比便我们都能确信大家在讨论的是同一个问题.
昨日,HP也发布了一款安全相关的开发工具,该工具可以检测AdobeFlash系统中广泛使用,却容易造成缺陷的代码.HP表示该名为SWFScan的工具,面向没有安全背景的Flash开发人员,由HPWeb安全研究小组开发.
SWFScan结合了Flare和SWFIntruder.却是唯一能支持Flash9和10;ActionScript3以及Flex框架的安全产品.它可以反编译ActionScript2或3格式的Flash脚本,进行静态分析,检查包括数据泄露,跨站脚本漏洞,跨站提权等超过60种脚本漏洞.工具可以加亮问题代码,并提供解决建议.此外SWFScan还可以生成报告及导出源码.
HP网页安全小组的管理人员霍夫曼表示由于Flash是二进制编码,当下人们刚刚开始关注Flash的安全问题,能够进行深入分析的免费的工具还不多.但很多Flash程序都有一些安全隐患.
HP曾利用SWFScan测试了超过4000个Flash程序,最终发现超过35%有违Adobe的最佳安全做法,16%针对Flash8或更早版本而设计的程序中存在扩展攻击漏洞.15%的Flash登陆表单中含有内置用户名/密码.HP提示您该工具仅检测客户端Flash程序,并不涉及服务器部分。