行業(yè)動態(tài)

Mozilla網(wǎng)站安全分析工具Observatory已發(fā)布

來源:聚銘網(wǎng)絡    發(fā)布時間:2016-09-07    瀏覽次數(shù):
 

信息來源:企業(yè)網(wǎng)

Mozilla最近發(fā)布了一款名為Observatory的網(wǎng)站安全分析工具,意在鼓勵開發(fā)者和系統(tǒng)管理員增強自己網(wǎng)站的安全配置。

該工具的用法非常簡單:輸入網(wǎng)站URL,即可訪問并分析網(wǎng)站HTTP標頭,隨后可針對網(wǎng)站安全性提供數(shù)字形式的分數(shù)和字母代表的安全級別。該工具可分析大量安全配置,取決于所發(fā)現(xiàn)問題的嚴重程度,會通過扣分的方式對分數(shù)進行修正。該工具檢查的主要范圍包括:

Cookie 跨源資源共享(CORS) 內(nèi)容安全策略 HTTP公鑰固定(Public Key Pinning) HTTP嚴格傳輸安全 重定向 子資源完整性(Subresource Integrity) X-Content-Type-Options X-Frame-Options X-XSS-Protection

根據(jù)Mozilla對評分細節(jié)的介紹,每個網(wǎng)站默認可得到100分,隨后將根據(jù)具體配置扣分或加分:

所有網(wǎng)站的基準分為100分,以此為基礎進行扣分或加分。最低分為0分,但最高分沒有上限。目前HTTP Observatory可給出的理論最高分為130。但是要注意,盡管用字母代表的安全等級范圍和修正后的分數(shù)在本質(zhì)上是隨機的,但實際上這些評分源自業(yè)界專家的反饋,代表了某一網(wǎng)站通過測試或測試失敗的可能性。

例如在CORS測試中,包含CORS標頭但僅限于特定域名的網(wǎng)站不會因此被扣分,然而如果同一個網(wǎng)站在使用CORS XML文件的同時允許所有域名,將會扣掉50分,50分是修正分中可以扣除的最大分值。

Observatory由一個核心庫,一個CLI,以及一個Web界面組成。CLI可供開發(fā)者將評分功能用腳本的方式納入測試套件或部署邏輯中。對于只需要偶爾使用的用戶,可以在Web界面上輸入網(wǎng)站地址并設置其他選項。該工具還可以調(diào)用其他安全分析工具,例如securityheaders.io和hstspreload.appspot.com,借此提供更深入的檢測分析。

在該工具的網(wǎng)站上,每個類別都提供了一個指向Mozilla相關話題文檔的鏈接,開發(fā)者可以通過這個鏈接了解如何以更好的方式實現(xiàn)安全策略。Mozilla提供的CORS指南中稱:

除非明確需要,否則不應出現(xiàn)[CORS信息]。此類信息的用例包括為JavaScript/CSS庫和公開API端點提供托管的內(nèi)容交付網(wǎng)絡(CDN)等。如果使用了此類信息,必須將其鎖定至盡可能少,正常使用絕對必要的源(Origin)和資源。

Observatory網(wǎng)站本身在該工具中獲得了A+以及120分的成績,而mozilla.org獲得了D+以及40分的成績。該項目已開源并已發(fā)布至GitHub。

查看英文原文:Mozilla's Observatory Website Security Analysis Tool Available

 
 

上一篇:9 月安卓安全補丁風險評估

下一篇:2016年09月07日 聚銘安全速遞