Mozilla dévoile « Hack-n-Plug »
Un nouveau standard pour simplifier l'interaction entre les outils de sécurité et les navigateurs
Le 2013-08-27 06:27:11, par Cedric Chevalier, Expert éminent sénior
Certains doivent se souvenir de leur début difficile dans le domaine de la sécurité des applications web. Beaucoup ont surement dû jeter l’éponge trop tôt, à cause de la difficulté de configuration de l’environnement de tests des tutoriels. À titre d’exemple, capturer les requêtes HTTPS d’un navigateur à partir d’une solution comme Web Scarab n’est pas une tâche aussi simple qu’on pourrait le penser. Elle se déroule en plusieurs étapes, faisant intervenir la configuration d’un proxy ainsi que des certificats de sécurité. L’échec d’une seule de ces étapes conduit non seulement à un navigateur incapable d’ouvrir un site web, mais aucun trafic n’est non plus capturé par le logiciel de sécurité.
Simon Bennett, ingénieur en sécurité en fonction chez Mozilla et créateur de ZAP (Zed Attack Proxy), un fork de Paros Proxy (un logiciel dédié à la sécurité des applications web), propose un standard ouvert sous licence « Mozilla Public Licence 2.0 » pour simplifier les processus autour de la sécurité des applications web.
Ce nouveau standard, baptisé « Plug-n-Hack », définit comment les logiciels employés dans la sécurité web et les navigateurs doivent interagir de façon utile et exploitable. Pour revenir au cas de figure énoncé plus haut, concernant la mise en place de l’environnement de tests, Plug-n-Hack aurait épargné à plus d’un cette tâche ingrate, leur permettant de se concentrer uniquement sur l’essentiel : tester la sécurité des applications web.
Le standard a été conçu pour n’être lié à aucune solution de sécurité ou navigateur web particulier. Ce qui rend son intégration possible avec la multitude d’outils libres comme payants disponibles sur Internet.
Plug-n-Hack est encore en cours de développement. Firefox 24 et ZAP bénéficient de ses fonctionnalités. L’intégration du standard dans le logiciel BURP est à venir.
ZAP en action dans Firefox (intégration rendue possible par Plug-n-Hack)
Source : blog Mozilla
Et vous ?
Simon Bennett, ingénieur en sécurité en fonction chez Mozilla et créateur de ZAP (Zed Attack Proxy), un fork de Paros Proxy (un logiciel dédié à la sécurité des applications web), propose un standard ouvert sous licence « Mozilla Public Licence 2.0 » pour simplifier les processus autour de la sécurité des applications web.
Ce nouveau standard, baptisé « Plug-n-Hack », définit comment les logiciels employés dans la sécurité web et les navigateurs doivent interagir de façon utile et exploitable. Pour revenir au cas de figure énoncé plus haut, concernant la mise en place de l’environnement de tests, Plug-n-Hack aurait épargné à plus d’un cette tâche ingrate, leur permettant de se concentrer uniquement sur l’essentiel : tester la sécurité des applications web.
Le standard a été conçu pour n’être lié à aucune solution de sécurité ou navigateur web particulier. Ce qui rend son intégration possible avec la multitude d’outils libres comme payants disponibles sur Internet.
Plug-n-Hack est encore en cours de développement. Firefox 24 et ZAP bénéficient de ses fonctionnalités. L’intégration du standard dans le logiciel BURP est à venir.
ZAP en action dans Firefox (intégration rendue possible par Plug-n-Hack)
Source : blog Mozilla
Et vous ?
n5Rzn1D9dC
Membre averti
Pour voir les requêtes que le navigateur envoi aux sites, j'utilise httpfox. Il n'y a rien à configurer. Ca montre toutes les requêtes, http et https.
J'ai voulu tester pnh, mais il refuse de s'installer sous Iceweasel.
J'ai voulu tester pnh, mais il refuse de s'installer sous Iceweasel.
le 27/08/2013 à 12:53