CanSec West上發布了開源的安全工具

　微軟在最近的CanSec West 上發布了自己的免費開源的安全工具.名為 !Exploitable(官方讀作: 砰! Exploit) 以 Win Debugger 的插件形式發布,可以幫助分析(PE)程序的漏洞.該程序能夠利用被微軟稱為主要hash和次要hash的兩組特征值為崩潰信息分類,將同一缺陷引起崩潰 的分為一類.從而定義軟件缺陷的可利用性.為了演示 !Exploitable 程序的實用性,微軟安全科學小組的內部測試曾用四個不同的Fuzz測試程序(fuzzer)測試最近獲得的同一軟件.!Exploitable從57次由模糊測試引起的不同崩潰中識別出15處安全問題,其中只有1處被分類為可利用.

　　微軟的模糊技術程序主管 Shirk 表示該程序可以幫助研究員們定義可利用性,告訴我們要如何討論這些問題,比便我們都能確信大家在討論的是同一個問題.

　　昨日,HP也發布了一款安全相關的開發工具,該工具可以檢測 Adobe Flash 系統中廣泛使用,卻容易造成缺陷的代碼.HP表示該名為 SWFScan 的工具,面向沒有安全背景的Flash開發人員,由 HP Web 安全研究小組開發.

　　SWFScan結合了 Flare 和 SWFIntruder.卻是唯一能支持Flash 9 和 10;ActionScript 3 以及 Flex 框架的安全產品.它可以反編譯 ActionScript 2 或 3 格式的 Flash 腳本,進行靜態分析,檢查包括 數據泄露,跨站腳本漏洞,跨站提權等超過 60 種腳本漏洞.工具可以加亮問題代碼,并提供解決建議.此外SWFScan還可以生成報告及導出源碼.

　　HP網頁安全小組的管理人員霍夫曼表示由于Flash是二進制編碼,當下人們剛剛開始關注 Flash 的安全問題,能夠進行深入分析的免費的工具還不多.但很多Flash程序都有一些安全隱患.

　　HP曾利用SWFScan測試了超過4000個Flash程序,最終發現超過35%有違Adobe的最佳安全做法,16% 針對 Flash 8 或更早版本而設計的程序中存在擴展攻擊漏洞.15% 的 Flash 登陸表單中含有內置用戶名/密碼.HP提示您該工具僅檢測客戶端 Flash 程序,并不涉及服務器部分。

原文轉自：http://www.kjueaiud.com