微软开源网站扫描工具 “声呐 (Sonar)”
作者:Eduad Kovacs
翻译:360代码卫士团队
本周微软发布了一款开源的代码检查 (linting) 和网站扫描工具Sonar (“声呐“),旨在帮助开发人员识别并修复性能和安全问题。
“声呐”由微软Edge团队开发,现已开源并捐赠给JS基金会。微软将会持续改进该项目,同时也欢迎其他人员的投入。
代码检查(linting) 是指分析代码找出潜在错误的进程。“声呐”检查范围广泛,跟性能、可访问性、安全性、PWA(Progressive Web Apps,增强型网络应用)和互操作性。
在安全性方面,“声呐”会查找8种类型的弱点,包括通过SSL Labs的SSL服务器测试来查找SSL配置问题。
另外一个测试用于查找未使用Strict-Transport-Security头信息的HTTPS连接,确保网站尽可通过安全连接访问以阻止中间人攻击。
开发人员还可验证应用程序或网站是否易受依赖于MIME嗅探的攻击。该攻击能导致浏览器检测到文件格式,即使媒介类型不正确也不例外。虽然MIME嗅探存在好处,但同时也带来了一些安全风险,不过如果网站使用了X-Content-Type-Options: nosniff HTTP响应头信息则可得到缓解。
“声呐”还会检查set-cookie头信息是否定义了Secure和HttpOnly属性,以通过确保cookie无法通过HTTP传播且其值无法通过JavaScript访问而阻止通过跨站脚本攻击实施的会话劫持。
“声呐”的另外一个有用功能是判断网站是否运行易受攻击的客户端JavaScript库或框架。它通过Snyk的漏洞DB和js-library检测器来判断。
“声呐”同时也旨在确保头信息不回泄露潜在的敏感数据,并阻止可导致用户访问恶意站点的未经授权重定向。
“声呐”可用作本地命令行工具,不过在线版本也已推出。“声呐”可集成多种其它产品使用,如aXeCore、AMP验证器、snyk、SSL Labs和Cloudinary。
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
http://www.securityweek.com/microsoft-open-sources-website-scanning-tool-sonar