Sowohl Unternehmen als auch Betreiber von privaten Webseiten setzen zunehmend Web 2.0-Technologien ein, darunter auch die Adobe Flash-Plattform. Da der Adobe Flash Player inzwischen weltweit auf 98 Prozent aller PCs mit Internetzugang installiert ist, müssen bei der Entwicklung von Flash-Anwendungen die erforderlichen Sicherheitsrichtlinien beachtet werden.
"Die Adobe Flash-Plattform wird zunehmend in großen Medienunternehmen und für geschäftskritische Anwendungen genutzt", sagt Brad Arkin, Director Produktsicherheit und Datenschutz im Adobe Secure Software-Entwicklerteam bei Adobe. "Das HP SWFScan-Tool unterstützt Flash-Entwickler dabei, potentielle Sicherheitslücken in einer frühen Phase der Entwicklung aufzudecken. So können sie Sicherheitsprobleme beheben, bevor die Webanwendungen zum Einsatz kommen."
Mit HP SWFScan können Entwickler
- bekannte Sicherheitslücken aufspüren, die sich Hacker zunutze machen - dazu gehören ungeschützte vertrauliche Daten, Cross-Site Scripting, Cross- Domain Privilege Escalation und nicht validierte Anwendereingaben,
- Sicherheitslücken im Quellcode schnell ermitteln und Methoden zu deren Beseitigung finden sowie
- die Konformität mit aktuellen Sicherheitsrichtlinien prüfen.
Sicherheitslücken identifizieren, beheben und vermeiden
HP SWFScan kann unter anderem Sicherheitslücken verhindern, die dadurch entstehen, dass vertrauliche Daten für Hacker zugänglich sind. Flash-Entwickler schaffen oft unbeabsichtigt eine Sicherheitslücke, indem sie Zugangsinformationen wie Passwörter, Verschlüsselungscode oder Datenbankinformationen direkt in ihre Anwendungen einbetten.
HP hat fast 4.000 Flash-Anwendungen analysiert - 35 Prozent davon verletzen die Adobe-Sicherheitsrichtlinien. Damit können Hacker Sicherheitsmaßnahmen umgehen und erhalten uneingeschränkten Zugang zu sensiblen Daten. Diese Lücken können Entwickler mit HP SWFScan ermitteln und schließen, bevor sie zum Sicherheitsproblem werden.
"Anwendungen, die mit Flash-Technologien entwickelt werden, sind genauso anfällig für Sicherheitslücken wie jede andere Webapplikation", bemerkt Joseph Feiman, Vice President und Fellow bei Gartner. "Um Unternehmen und ihre Kunden besser vor Hackerangriffen zu schützen, müssen Flash-Entwickler ihren Code auf seine Sicherheit prüfen können. Außerdem benötigen sie eine Anleitung, wie Lücken zu beheben sind und müssen Zugriff auf die optimalen Methoden zur sicheren Programmierung haben."
Der HP Web Security Research Group, die SWFScan entwickelt hat, gehören viele renommierte Sicherheitsexperten an. Das Team analysiert Bedrohungen für die Sicherheit von Web-Anwendungen und entwickelt neue Technologien für IT-Experten zur Behebung von Sicherheitslücken. Die Ergebnisse werden in HP Application Security Center integriert, eine Software-Suite, mit der Unternehmen Sicherheitslücken über den kompletten Applikations-Lebenszyklus identifizieren, beseitigen und verhindern können.
Die Grundlage von HP Application Security Center bildet die HP Assessment Management Platform. Die Plattform umfasst die folgenden Software-Lösungen: HP DevInspect für Entwickler, HP QAInspect für Qualitätssicherungs-Teams und HP WebInspect für die Sicherheitsexperten und den IT-Betrieb.
SWFScan steht als kostenloser Download zur Verfügung unter www.hp.com/go/swfscan.