Simon Bennett, ingénieur en sécurité en fonction chez Mozilla et créateur de ZAP (Zed Attack Proxy), un fork de Paros Proxy (un logiciel dédié à la sécurité des applications web), propose un standard ouvert sous licence « Mozilla Public Licence 2.0 » pour simplifier les processus autour de la sécurité des applications web.
Ce nouveau standard, baptisé « Plug-n-Hack », définit comment les logiciels employés dans la sécurité web et les navigateurs doivent interagir de façon utile et exploitable. Pour revenir au cas de figure énoncé plus haut, concernant la mise en place de l’environnement de tests, Plug-n-Hack aurait épargné à plus d’un cette tâche ingrate, leur permettant de se concentrer uniquement sur l’essentiel : tester la sécurité des applications web.
Le standard a été conçu pour n’être lié à aucune solution de sécurité ou navigateur web particulier. Ce qui rend son intégration possible avec la multitude d’outils libres comme payants disponibles sur Internet.
Plug-n-Hack est encore en cours de développement. Firefox 24 et ZAP bénéficient de ses fonctionnalités. L’intégration du standard dans le logiciel BURP est à venir.
ZAP en action dans Firefox (intégration rendue possible par Plug-n-Hack)
Télécharger l'extension ZAP prenant en charge Plug-n-Hack
Source : blog Mozilla
Et vous ?
Vous reconnaissez-vous dans ces amateurs en sécurité qui ont éprouvé des difficultés à mettre en place des environnements de tests de sécurité d'applications web ?
Que pensez-vous de ce protocole ? Allez-vous l’adopter ?