今更ですがHPが出している、swfscanを試してみました。
swfscanはサイトやローカルにあるswfを解析してActionScriptコードを抜き出し、クロスサイトスクリプティングや情報漏洩につながるコードがないかどうかをチェックするというもの。
起動画面はこんな感じ。
swfscanのインストールですが.NET Framework 2.0が必要とのことで残念ながらCrossOver環境では動作しないので、Windows環境でインストールして試してみました。
swfscanのdownloadはこちら
http://www.hp.com/go/swfscan
インストール自体は.NETFramework 2.0が入っていればすぐに終わりました。
1..NET Framework2.0以降が入っていないとエラーになります。
2. .NET Framework3.5をインストール後、やっとswfscanがインストールできる状態になりました。
3. License Agreementを読んでチェックをつけて次に進みます。
4.インストール先を決めます。デフォルトフォルダにそのままインストールしました。
5. Installボタンをクリックしておしまい。
swfをデコンパイルしてチェックするのもいいのですが、元のasやmxmlファイルに対してチェックをかけられるとうれしいのでは?と思いました。
現在のバージョンでは(これからも?)ルールを適用してチェックをするか、しないかは設定で選ぶことができるようですが、独自ルールの追加はできないようです。
findbugsのようにチェックするルールを追加したり、外したりできればプロジェクト単位のレビューに使えて便利ですね。
今のところAPIがあるわけでも開発ツールとの連携ができるわけでもないので、開発時のフローに含めるというよりテストフェーズにチェックリストの一部として使うのがよさそう。
--
以下リンク
Check your SWF for vulnerabilities Serge Jespers
http://www.webkitchen.be/2009/03/25/check-your-swf-for-vulnerabilities/
# devnetの記事。Downloadのリンクもあります。
Adobe - Developer Center Reducing the risk of malicious web attacks
with HP SWFScan
http://www.adobe.com/devnet/flashplayer/articles/swfscan.html
#arkwさんによるレビュー 。Oの数だけアツいということがうかがえます^^;
HP SWFScan is HOOOOOOOOOOOT!!! - AKABANA
http://d.hatena.ne.jp/arkw/20090325/1237950621
#日本語記事のリンクとメモ。
[Security][Flex] swfの脆弱性を発見してくれる無償ツール「SWFScan」 - いそっちノート
http://blog.isocchi.com/2009/03/securityflex-swfswfscan.html
|digg it!
|del.icio.us it!
この記事に対するコメント