Overslaan en naar de inhoud gaan

Scanner merkt lekken in Flash-applicaties op

Adobe Flash Player is op ruim 98 procent van alle pc’s met internetverbinding geïnstalleerd. Het is daarom noodzaak dat webapplicaties gebouwd met Flash-technologie veilig zijn.
Business
Shutterstock
Shutterstock

De scanner duikt in de code en probeert zo vast te stellen waar eventuele lekken zitten. De code wordt gedecompileerd en het resultaat wordt onderworpen aan een aantal statistische bewerkingen. Zo ontstaat een beeld van de werking van de code. Volgens de ontwikkelaars kunnen zo lekken ‘onder de motorkap’ van applicaties worden gedetecteerd die met traditionele dynamische methoden niet te ontdekken zijn.Een voorbeeld van zo’n potentieel datalek is het opnemen van allerlei informatie, zoals wachtwoorden en encryptiesleutels, in de applicatiecode. Flash-ontwikkelaars doen dat vaak onbedoeld, om toegangsinformatie snel beschikbaar te hebben en niet een of andere tabel te hoeven inlezen. Het voordeel van embedded toegangsinformatie is dat de website sneller kan reageren, het nadeel is dat de codes voor een hacker als het ware voor het oprapen liggen. Zo wist een hacker onbeperkt hamburgers te winnen bij een internetprijsvraag van een fastfoodketen: de winnende combinaties werden van de website zelf afgeplukt, via een lek in Flash. Die hacker, Billy Hoffman, is mede­oprichter van het bedrijf SPI dynamics, dat inmiddels onderdeel is geworden van HP. Hoffman was nauw betrokken bij de ontwikkeling van de scanner. De scanmodule brengt bekende onregelmatigheden in de Flash-code aan het licht. Juist naar die aspecten zijn hackers op zoek, omdat het ze een toegang tot een achterdeur van de applicatie verschaft. Een voorbeeld is cross-site scripting, waarmee een stukje code meegenomen kan worden als de gebruiker naar een andere website surft. Ook het ontbreken van een validiteitcontrole op invoer van de gebruiker kan een probleem vormen. Door het invoeren van een zeer lange string kan een zogeheten buffer overflow worden gecreëerd, waardoor de applicatie gekidnapt kan worden. Tevens wordt in de scan gebruikgemaakt van standaarden op het gebied van beveiliging. Die vormen een meetlat waarlangs de code wordt gelegd, om zo risico’s te kunnen opmerken. Het gaat om de Adobe Security Best Practices, en lijst met eisen waaraan een Flash-applicatie moet voldoen.De ontwikkelaars van HP hebben zo’n vierduizend websites onderzocht en ze kwamen tot de conclusie dat 35 procent van die sites niet aan de regels voldeed. “Flash-programma’s zijn beslist niet immuun voor fouten. Net als elke andere software kunnen ze onveilige delen bevatten. De ontwikkelaars kunnen met de scanner nu zelf bekijken of ze goed bezig zijn en of er reden is om anders te gaan werken”, meent Joseph Feiman, vicepresident en fellow van Gartner.HP heeft besloten om de scanner gratis ter beschikking te stellen. De module kan worden gedownload van www.hp.com/go/swfscan .

Lees dit PRO artikel gratis

Maak een gratis account aan en geniet van alle voordelen:

  • Toegang tot 3 PRO artikelen per maand
  • Inclusief CTO interviews, podcasts, digitale specials en whitepapers
  • Blijf up-to-date over de laatste ontwikkelingen in en rond tech

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in