سونار ابزار مایکروسافت برای کشف آسیب پذیری سایت

آیا می خواهید بدانید که وبسایت جدیدتان از جدیدترین کدهای برنامه نویسی بهره می برد؟ خبر خوب اینکه طراحان مرورگر اج مایکروسافت موفق به طراحی ابزار جدیدی با نام «سونار» ( sonar ) شده اند که قادر است عملکرد و امنیت وبسایت شما را به طور دقیق و تخصصی بررسی کند.

سونار توسط گروه اِج مایکروسافت به صورت متن‌باز توسعه یافته و به بنیاد جاوا اسکریپت اعطا شده است. مایکروسافت همچنان به پیشرفت این پروژه ادامه خواهد داد، اما مشارکت‌های خارجی را نیز می‌پذیرد. سونار طیف گسترده‌ای از مسائل از جمله مسائل مربوط به کارآیی، قابلیت دسترسی، امنیت، برنامه‌های وب پیشرفته، و قابلیت همکاری را مورد بررسی قرار می‌دهد.

سونار ژوئیه امسال ابتدا به عنوان یک پروژه اهدایی به جاوا اسکریپت معرفی شده بود و حال تمامی افرادی که هر نوع سایتی از سایت های اینترانت ( Intranet ) گرفته تا فروشگاه های آنلاین را مدیریت و اداره می کنند، می توانند از این ابزار استفاده کنند. ضمنا مایکروسافت از برنامه نویسان برای ارتقاء هرچه بیشتر این ابزار دعوت به عمل آورده است.

علاقه مندان با ورد به وبسایت سونار و وارد کردن آدرس وبسایتشان می توانند این ابزار را به کارگرفته و توسط آن عملکرد، امنیت، قابلیت ها، دسترسی و مشکلات مرتبط با اپلیکیشن های تحت وب را به طور دقیق بررسی و ارزیابی کنند. پس از اینکه بررسی های لازم انجام شد، سونار ابتدا لیست خطاهای یافت شده را اعلام و دلایل رخ دادن آنها را به طور کامل بیان خواهد کرد و همچنین با هایلایت کردن قطعه کدهای اشتباه، راه های ممکن جهت حل آنها را نیز ارائه می کند.

در مورد امنیت، سونار ۸ نوع آسیب‌پذیری از جمله مشکلات پیکربندی SSL را با استفاده از آزمایش کارگزار SSL مربوط به آزمایشگاه‌های SSL مورد بررسی قرار می‌دهد.

آزمایش دیگری به دنبال اتصالات HTTPS است که از سازوکار انتقال اطلاعات با امنیت بالا استفاده نمی‌کنند، که اطمینان حاصل کند یک وب‌گاه فقط می‌تواند از طریق ارتباطات ایمن قابل دسترسی باشد تا از حملات مرد میانی جلوگیری شود.

توسعه‌دهندگان همچنین می‌توانند متوجه شوند که آیا برنامه‌ها یا وب‌گاه‌هایشان در برابر حملات مبتنی‌بر شنودMIME  آسیب‌پذیر هستند یا خیر. شنودMIME  به مرروگرها اجازه می‌دهد که قالب‌های پرونده را شناسایی کنند، حتی اگر نوع رسانه اشتباه باشد. با این‌که شنود MIME مزایایی دارد، اما همچنین خطرات امنیتی را نیز معرفی می‌کند که اگر وب‌گاه از گزینه‌های نوع محتوای X: عنوان پاسخ nosniff HTTP استفاده کند، این خطرات می‌توانند کاهش یابند.

سونار همچنین بررسی می‌کند که آیا سرآیند تنظیم کوکی ویژگی‌های HttpOnly و ایمن را معرفی می‌کند یا خیر، که با اطمینان از این‌که کوکی‌ها نمی‌توانند در سرتاسر HTTP منتقل شوند و مقادیر آن‌ها نمی‌توانند از طریق جاوا اسکریپت قابل دسترس باشند، از سرقت نشست به وسیله‌ی حملات تزریق اسکریپت از طریق وب‌گاه یا XSS جلوگیری می‌کند.

یکی دیگر از ویژگی‌های مفید امنیتی این است که اگر وب‌گاهی یک چارچوب یا کتابخانه‌ی جاوا اسکریپت آسیب‌پذیر را در سمت کارخواه اجرا کند، سونار می‌تواند تشخیص دهد. این کار با استفاده از پایگاه‌ داده‌ی آسیب‌پذیری Snyk و کشف‌کننده‌ی کتابخانه‌ی جاوا اسکریپت انجام می‌شود.

«آنتون مونتلا» مدیر ارشد برنامه نویسی مایکروسافت اج درباره این ابزار گفته که سونار به جای اینکه کدهای وبسایت را فقط آنالیز کند، آنها را به صورت جداگانه اجرا می کند تا بتواند نتایج دقیق تری را کسب کرده و همچنین از این طریق عملکرد و ظرفیت وبسایت کاربران را افزایش دهد.

سونار در حال حاضر از طریق آدرس https://sonarwhal.com/scanner قابل دسترسی است و در آینده نزدیک به ویژگی های جدیدتری نیز مجهز خواهد شد که از جمله آنها به پلاگین های مختص کدهای ویژوال استودیو، اعمال تغییرات دلخواه در اپلیکیشن های تحت وب و پیشتیبانی از ویژگی های جدید جهت تست دقیق تر امنیت، عملکرد و دسترسی وبسایت ها می توان اشاره کرد.

اگر سایت شما به ویژه سایت کسب و کارتان امنیت بالاتری داشته باشد هم برای برند شما مفیدتر است هم از لحاظ سئو موفق تر.

منبع:news.asis.io – جامعه مهندسان ایران

سئو پارسیان

سئو پارسیان با بیش از 10 سال سابقه فعالیت در زمینه طراحی و بهینه سازی سایت برای موتورهای جستجو یا سئو در مشهد , با شماره عضویت ۵۱۰۳۰۴۷۲ سازمان نظام مهندسی رایانه ای خراسان رضوی ، آماده همکاری در قالب مشاور و مجری پروژه های IT شما می باشد.

شما ممکن است این را هم بپسندید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *