Nástroje proti cross-site scripting a SQL injection

28. 6. 2010

Sdílet

Známý bezpečnostní výzkumník Dan Kaminski založil start-up Recursion Ventures. Firma by měla nabídnout především bezpečnostní nástroje určené pro webové vývojáře. První z produktů, Interpolique, má kontrolovat, zda aplikace není zranitelná přes útoky cross-site scripting nebo SQL injection.

Podle Kaminskeho existuje dnes velký rozpor mezi světem zabezpečení a vývojových nástrojů. Ve druhém případě je kritériem pohodlí pro vývojáře a produktivita, naopak bezpečnostní nástroje toto vůbec neberou v potaz. Postupy, které dnes umožňují zabránit vsunutí kódy, standardní vývoj komplikují, takže řada vývojářů je raději ignoruje jako zbytečné.

Nástroje Recursion Ventures by měly pomáhat omezit tyto třecí plochy. Interpolique je framework určený vývojářům aplikací, není zamýšlen pro nasazení v provozním prostředí např. na serveru. Obsahuje např. nástroje pro automatické „formátování“ kódu, aby nebyl tak snadno napadnutelný. Odděluje data od aplikace, nicméně by vývojář měl moci dále pracovat tak, jak je zvyklý.

Kaminski má své nástroje podrobněji představit příští měsíc na konferenci Black Hat. Analytici zatím spekulují, že klíčové pro úspěch Kaminského bude, jak širokou sadu technik a produktů (např. konkrétních databází, v případě ochrany proti XSS i webových prohlížečů) bude jeho přístup podporovat.

 

Zdroj: UBM TechWeb

 

ICTS24

Poznámka: Kaminski je znám hlavně kvůli objevu chyby v systému DNS před asi dvěma lety.