Mozilla bouwt bugscanner voor webapp-ontwikkelaars

De Mozilla Foundation ontwikkelt een security framework voor het controleren van webapplicaties op beveiligingsfouten. Het project zit nog in een prille fase.


Mozilla treedt naar buiten met plannen voor Minion, een open source webapplicatie-scanner die ontwikkelaars van webapplicaties moet gaan helpen bij het vinden van kwetsbaarheden. De scanner gaat een beveiligingstest uitvoeren aan de hand van gerenommeerde pentesting tools Zed Attack Proxy (ZAP), Skipfish en Nmap. Overige pentools worden later toegevoegd.

Vroeg stadium

Het idee is om ontwikkelaars met weinig kennis van beveiliging tijdens het bouwen van webapplicaties te ondersteunen. Zij kunnen Minion tijdens verschillende fases van het ontwikkelproces inzetten, zodat kwetsbaarheden in een vroeg stadium kunnen worden gevonden en gedicht. Uiteindelijk moet Minion ook ervaren ontwikkelaars helpen.

De data die de tool tijdens een test genereert, wordt verzameld en geŽvalueerd. Mozilla benadrukt op de wiki-lemma van het project dat Minion zeer gevoelige data zal bevatten, waaronder informatie over de meeste grote beveiligingsproblemen. Data die ook voor kwaadwillenden interessant gaat worden.

Druk op de knop

De deelnemers aan het project willen daarom een functionaliteit inbouwen die voor de Minion-aanval op een website controleert of een website-eigenaar daadwerkelijk een test heeft aangevraagd. De eindversie moet met een druk op de knop zijn te bedienen, zo schreef beveiligingsexpert Yvan Boily van Mozilla eerder op zijn eigen blog. Hij wil dat alle beveiligingsontwikkelaars van Mozilla uiteindelijk zelf ook met Minion gaan werken.