Mozilla développe un Framework gratuit de tests de sécurité pour le Web
La bêta de Minion sera disponible au premier trimestre 2013
Le 2013-01-21 12:26:41, par Hinault Romaric, Responsable .NET
L’équipe en charge de la sécurité informatique au sein de la fondation Mozilla travaille sur un framework open source de tests de sécurité automatisés pour les applications Web.
Baptisé Minion, ce framework de tests est construit, selon la fondation Mozilla, pour combler le fossé entre les développeurs et les testeurs de sécurité. Pour cela, Minion permettra aux développeurs d’analyser leurs projets à partir d’une interface Web conviviale.
Il pourra être utilisé pour tester la sécurité tout le long du cycle de développement d’une application ou d’un service Web, afin que le développeur soit conscient des problèmes le plus tôt possible.
Le projet implémente des outils de tests d’applications comme : OWASP Zed Attack Proxy (ZAP), une solution intégrée de tests et de pénétration pour trouver les vulnérabilités dans les applications Web ; Skipfish, le scanner de vulnérabilités Web Open Source ; Nmap, un scanner de ports open source ou encore Garmr, l’outil de tests de sécurité de la fondation Mozilla.
Les données générées au cours des tests pourront être recueillies et analysées par les développeurs. Pour empêcher les pirates d’utiliser le framework pour analyser les failles des sites Web, le service vérifiera pour chaque test si les propriétaires sont effectivement à l’origine de la demande.
Par ailleurs, Minion devra être « très très sécurisé », car il contiendra des données sensibles comme des informations sur les problèmes de sécurité les plus répandus.
La fondation Mozilla envisage de publier une bêta de Minion au cours du premier trimestre de cette année. Le framework sera utilisé par l’organisme en interne sur ses propres applications Web et sera disponible également comme un service.
Le Wiki du projet
La vidéo de présentation
Source : Mozilla
Et vous ?
Que pensez-vous de Minion ?
Baptisé Minion, ce framework de tests est construit, selon la fondation Mozilla, pour combler le fossé entre les développeurs et les testeurs de sécurité. Pour cela, Minion permettra aux développeurs d’analyser leurs projets à partir d’une interface Web conviviale.
Il pourra être utilisé pour tester la sécurité tout le long du cycle de développement d’une application ou d’un service Web, afin que le développeur soit conscient des problèmes le plus tôt possible.
Le projet implémente des outils de tests d’applications comme : OWASP Zed Attack Proxy (ZAP), une solution intégrée de tests et de pénétration pour trouver les vulnérabilités dans les applications Web ; Skipfish, le scanner de vulnérabilités Web Open Source ; Nmap, un scanner de ports open source ou encore Garmr, l’outil de tests de sécurité de la fondation Mozilla.
Les données générées au cours des tests pourront être recueillies et analysées par les développeurs. Pour empêcher les pirates d’utiliser le framework pour analyser les failles des sites Web, le service vérifiera pour chaque test si les propriétaires sont effectivement à l’origine de la demande.
Par ailleurs, Minion devra être « très très sécurisé », car il contiendra des données sensibles comme des informations sur les problèmes de sécurité les plus répandus.
La fondation Mozilla envisage de publier une bêta de Minion au cours du premier trimestre de cette année. Le framework sera utilisé par l’organisme en interne sur ses propres applications Web et sera disponible également comme un service.
Source : Mozilla
Et vous ?
-
UtherExpert éminent séniorS'il suffisait changer deux ligne dans le code pour faire tomber la protection, ca ne serait pas une protection. Les gens de chez Mozilla ne sont pas idiots.
Je suppose que c'est fait coté serveur et que l'on ne pourra donc y avoir accès (a moins bien sur que le serveur ait déjà été piraté.)le 21/01/2013 à 14:12 -
Samuel_Membre expertJe ne pense pas qu'un simple Framework en bêta peut remplacer une personne avec ses compétences et son expérience.
Mais sinon l'idée de ce Framework est bonne, surtout pour les développement perso et les petites entreprises.le 21/01/2013 à 14:28 -
LSMetagExpert confirméCa peut être sympa pour faire une première (ou dernière) passe de vérification de sécurité. Moi je prends.le 21/01/2013 à 22:27
-
ClorgeEn attente de confirmation mailrien ne vaudras jamais l'audit d'un humain, il y plein de façons de tromper un bot de scan dans son application web.
De plus dans le meilleur des mondes où le bot trouve toutes les failles, comment celui qui ne s'y connait pas interprète les résultats ?
XSS volotille == mon site vas se faire pirater :O :peur:
SQL == bof.. ça doit etre comme une xss, c'est pas bien grave
nikto , nessus, nmap sont déjà là, et encore une fois , faut bien distinguer la detection de la correction des failles (sans compter l'audit plus approfondi de l'apl)
BOT : http://site.tld/index.html == Arf... site statique aucune faille (dommage il y avais ça dans l'htaccess AddType application/x-httpd-php .html)
M'enfin, encore un piège à con pour ceux qui croient qu'il n'existe que deux état de sécurité, true || false mais bon, tant mieux, ça fait des places sur le marché du travaille 21/03/2013 à 2:49 -
negstekMembre confirmévivement la création d'un tuto sur l'utilisation de ces logiciels et les bonnes pratiques pour sécuriser son site weble 01/08/2013 à 10:10
-
raimbowNouveau membre du ClubQue ça soit ZAP, Skipfish, Nmap ou Garmr, ce sont pas des outils qui analysent le code, ils agissent comme de simple "visiteur", autrement dis il n'y a pas besoin de droit spécifique côté serveur pour lancer ces outils.
A partir de là, je vois pas trop ce qu'ils peuvent "bloquer" sans que ça soit utilisable sans l'autorisation du serveur.le 21/01/2013 à 14:27 -
leminipouceMembre éprouvéEn plus d'être un super point positif pour tous les dév qui sont fait sans financement sur l'aspect sécurité, c'est aussi un super point de départ pour se sensibiliser et s'informer sur les problématiques de sécurité.
Je prends !le 22/01/2013 à 17:39 -
yassiinMembre à l'essaije pense que le framework va faire la même chose que detectify qui propose un service pour faire un scan de votre site pour y trouver d'éventuels exploits !le 22/01/2013 à 17:44
-
andry.aimeRédacteur/ModérateurEn parlant de minion, j'ai pensé à eux.le 25/01/2013 à 16:09
-
Aurelien PlazzottaMembre extrêmement actifLe produit marche sur les plate-bandes des testeurs en sécurité, ce qui va légèrement diminuer l'attrait des entreprises pour ce genre de postes.
Je ne suis pas contre l'innovation hein, c'est une simple observationle 21/01/2013 à 14:25