HPs Web Security Research Group lanserte i slutten av forrige uke SWFScan, et gratis sikkerhetsverktøy som skal hjelp utviklere med å finne og fjerne sårbarheter i applikasjoner basert på Adobes Flash-plattform.
Verktøyet dekompilerer applikasjonene og utfører statisk analyse for å forstå atferden. Det skal være spesielt nyttig for utviklere uten sikkerhetsbakgrunn, siden verktøyet skal kunne identifisere sårbarheter som ikke kan oppdages ved hjelp av dynamiske analysemetoder.
Når man åpner en SWF-fil i SWFScan, vil verktøyet kunne dekompilere bytekode basert på ActionScript 2 eller 3 tilbake til den originale kildekoden. Deretter vil verktøyet ved å granske koden kunne finne mer enn 60 ulike typer sårbarheter, inkludert blottlegging av konfidensielle data, cross-site scripting (XSS) og privilegiumeskalering på tvers av domener.
Etter analysen, vil SWFScan utheve kodelinjer som inneholder sårbarheter. Det vil også tilby sammendrag, detaljer og råd om botemiddel for hver sårbarhet som oppdages.
HP oppgir at SWFScan ikke er det første gratisverktøyet av denne typen, men selskapet mener at eksisterende dekompileringsverktøy, blant annet Flare og SWFIntruder, ikke lenger henger med når det gjelder funksjonalitet som har blitt introdusert i Flash 9 og 10, ActionScript 3 og Flex-rammeverket.
Under utviklingen av SWFScan, skal HP ha lastet ned og gransket drøyt 4000 ulike Flash-applikasjoner. Dette avslørte en rekke uheldige forhold.
Av de 250 Flash-applikasjonene som hadde innloggingsskjema, hadde 15 prosent brukernavn og passord som var hardkodet inne i applikasjonskoden.
16 prosent av Flash-applikasjonene som var rettet mot Flash Player 8 og tidligere inneholdt XSS-sårbarheter. 35 prosent av alle applikasjonene brøt med Adobes anbefalte sikkerhetsmetoder.
77 prosent av alle applikasjonene som var rettet mot Flash Player 9 og 10 inneholdt debuggingsinformasjon fra utviklerne og referanser til kildekodefiler.
HP har gjengitt mer informasjon om statistikken på denne siden.
SWFScan kan lastes ned via denne siden. Verktøyet er kun tilgjengelig for Windows.
Enkelte vil kanskje være skeptiske til at slike verktøy gjøres tilbys, siden det helt klart også kan benyttes av ondsinnede. Uansett bør utviklerne så raskt som mulig sjekke sine Flash-applikasjoner for sårbarheter, slik at de kan komme potensielle angripere i forkjøpet.