Microsoft выпустил бесплатный инструмент для проверки зараженных сайтов

Sonar— новый
инструмент для проверки веб-сайтов на уязвимости разработчиков Microsoft Edge —
стал доступен как утилита, запускаемая из-под командной строки, или как
общедоступный веб-сервис. Исходный Sonarпередан
сообществу разработчиков с открытым кодом.

Редкая щедростьMicrosoft

Разработчики браузера Microsoft Edge выпустили бесплатныйинструмент под названием Sonar, предназначенный для анализа кода веб-сайтов напредмет проблем с безопасностью. Исходный код Sonar опубликован на GitHub подоткрытой лицензией. Дальнейшим его развитием программисты Microsoft будутзаниматься вместе с участниками проекта JS Foundation.

Sonar позволяет проводить проверку кода веб-сайтов на присутствиепрограммных ошибок, проблем с производительностью, доступностью ибезопасностью.

На данный момент Sonar доступен как утилита, запускаемая изкомандной строки, а также открытый онлайн-сервис, работающий поверх облакаAzure и позволяющий сканировать любой публичный сайт.

Свойства Sonar

Как указывается в описании Sonar, этот пакет позволяетпроизводить тестовое исполнение всего кода веб-сайта, а не только статическуюпроверку. Кроме того, заявлен гибкий и современный набор правил, проведениепараллельных тестов и интеграция с другими сервисами. В частности, он можетработать вместе с aXe Core, AMPvalidator, snyk.io, SSL Labs и Cloudinary.

Microsoft выпустил открытый инструмент для инспекции кода веб-сайтов

Sonarпоможет выявить, уязвим ли сайт перед MitM-атаками при использованииHTTPS-соединений. Подобный сценарий может осуществляться, если такие соединенияне используют заголовок Strict-Transport-Security. Кроме того, Sonar проверяет,заданы ли в заголовке set-cookie header атрибуты Secure и HttpOnly — воизбежание XSS-атак.

Новый инструмент Microsoft также способен выявлятьподверженность сайтов MIME-сниффингу и выяснять, уязвимы ли библиотеки или фреймворкиJavaScript, используемые сайтом. Для этого используются база данных уязвимостейSnyk и js-library-detector.

С помощью Sonar можно застраховаться от утечек данных череззаголовки и предотвратить перенаправление на вредоносные сайты.

Комментарий эксперта

«Веб-сайты, особенно публичные, — одна из самых любимых»точек входа» для кибервзломщиков. Сайт будут атаковать в первуюочередь, — отмечает Роман Гинятуллин, эксперт по информационной безопасностикомпании SEC Consult Services. — Поэтому использование таких инструментов какSonar — насущная необходимость для разработчиков. Остается толькоприветствовать, что Microsoft сделала свою разработку бесплатной дляпользователей и оставила сообществу OpenSource возможность совершенствовать его в дальнейшем».