HP宣布推出免費的網路資安工具:HP SWFScan,協助Flash應用程式開發人員保護網站免於非蓄意應用程式安全性漏洞的威脅,並降低駭客竊取機密資料的風險。
企業現在逐漸採用Web 2.0技術(包括Adobe Flash平台)對應用程式進行提昇,以便為使用者提供更佳的線上體驗。在全球,超過98%連線至網路的電腦皆已安裝Adobe Flash Player,因此使用 Flash 技術建置的網路應用程式更需要在安全的環境下進行開發。
有了HP SWFScan,Flash開發人員即使不是資訊安全方面的專家,也能提供更安全的程式碼。此項工具為業界第一款能對採用Flash平台開發的應用程式進行解編譯的工具,還可執行靜態分析,瞭解其行為模式,有助於識別應用程式潛在且無法以傳統動態方式測得的安全性漏洞。
使用HP SWFScan後,Flash開發人員便檢查會被惡意駭客鎖定為目標的已知安全性漏洞,其中包括機密資料暴露、跨站腳本攻擊、未經授權的權限提升,以及未取得驗證的使用者輸入內容等。找出來源碼中的安全性漏洞,並接收修復安全性問題的完整指示,迅速解決問題,並且確保符合最佳資訊安全作法與準則。
Adobe安全性軟體工程團隊產品安全性和隱私權部門主任Brad Arkin表示:「Adobe Flash平台逐漸受到廣大媒體公司使用,並且廣泛用於企業關鍵應用程式。我們正與HP合作,確保開發人員具備可協助安全性內容的工具,並且保護客戶資料安全。我們與HP合作開發其SWFScan工具,協助Flash開發人員在開發過程中及早發現可能的安全性問題,以便在部署網路應用程式之前,事先瞭解並防止問題發生。」
HP SWFScan對安全性漏洞所採取的防禦措施之一,就是避免駭客取得機密資訊。Flash開發人員通常在對應用程式的存取資訊(如密碼、加密金鑰或資料庫資訊) 進行編碼時,不慎製造了安全性漏洞。以下影片說明駭客如何透過此一漏洞竊取資訊。
HP對將近4000個使用Flash平台開發的網路應用程式進行分析,發現其中35%違反Adobe安全性最佳實例。駭客可利用此情況避開安全性措施,不受限制地取得機密資訊的存取權,而HP SWFScan可協助開發人員在發生以上問題前,事先找出問題並進行修正。
Gartner公司副總裁暨事業夥伴Joseph Feiman表示:「使用Flash技術開發的應用程式對於安全性漏洞的防禦力,並沒有較其他網路應用程式優異。Flash開發人員如果能確認程式碼是否安全,便能瞭解如何修復問題,而且在為開發人員提供最佳安全性程式設計實例後,將可協助保護企業及其客戶免受駭客攻擊。」
開發出SWFScan的HP網路安全研究小組成員中,包含了資訊安全領域的知名專家,該小組追蹤網路相關的資訊安全威脅,並開發新技術協助IT專家解決應用程式的安全性漏洞。該小組的研究成果已整合至HP Application Security Center 產品套件中,以便客戶在應用程式的生命週期中,發現、修復並避免上述安全性漏洞。
HP Application Security Center 中包含作為該解決方案基礎的HP Assessment Management Platform,以及供開發人員使用的HP DevInspect軟體、供品管團隊使用的HP QAInspect軟體,以及供維運和安全性專家使用的HP WebInspect軟體。
歡迎至網站:www.hp.com/go/swfscan免費下載HP SWFScan