سونار: اسکنر امنیتی مایکروسافت

مایکروسافت به تازگی ابزار بسیار کارآمدی موسوم به سونار (Sonar) را منتشر کرده است که به مالکان سایت‌ها اجازه می دهد وب‌سایت خود را به منظور شناسایی آسیب پذیری‌های احتمالی مورد بررسی قرار دهند. سونار یک ابزار متن باز است که در گروه ابزار‌های امنیتی قرار می‌گیرد. این ابزار ضمن آن‌که مشکلات مربوط به عملکرد، قابلیت دسترسی و کارایی یک سایت را مورد بررسی قرار می‌دهد، مشکلات امنیتی یک سایت را نیز شناسایی می‌کند. این ابزار از سوی تیم مایکروسافت اج و به شکل متن باز طراحی شده و به بنیاد جاوا اسکریپت اهدا شده است. در حالی که مایکروسافت ابزار فوق را به این بنیاد اهدا کرده است، اما همچنان از این نرم‌افزار پشتیبانی و قابلیت‌هایی متناسب با تهدیدات امنیتی را به آن اضافه خواهد کرد. تیم سازنده اعلام کرده است که از هرگونه تعاملی با توسعه دهندگان ثالث به منظور بهتر شدن کیفیت ابزار خود استقب میکند. سونار از رویکردی موسوم به Linting برای ارزیابی یک سایت استفاده می‌‍کند. Linting به فرایندی گفته می شود که در آن یک برنامه به منظور تحلیل کدها ارزیابی شده تا خطاهای بالقوه نرم‌افزار شناسایی شود. سونار طیف گسترده‌ای از مشکلات مرتبط با عملکرد، سطح دسترسی، امنیت و قابلیت همکاری را مورد بررسی قرار داده و به خوبی قادر است برنامه‌های وب پیش‌رونده PWA (Progressive Web Apps) را تحلیل کند. مایکروسافت ابزار سونار را در قالب یک پروژه متن باز روی گیت‌هاب قرار داده است تا طراحان با استفاده از آن بتوانند پس از طراحی سایت باگ‌های ناپیدای درون یک وب‌سایت را پیدا کنند. در حوزه امنیت، سونار هشت نوع آسیب پذیری مهم همچون مشکلات مربوط به پیکربندی SSL را مورد بررسی قرار می‌دهد. در ارتباط با مشکلات مربوط به SSL سونار از ابزار طراحی شده از سوی آزمایشگاههای SSL موسوم به SSL Server Test استفاده می‌کند. برای اطلاعات بیشتر در ارتباط با ابزارهای ارائه شده از سوی این آزمایشگاه به نشانی ssllabs.com مراجعه کنید. آزمایش دیگری که از سوی این ابزار انجام می‌شود در ارتباط با ارتباطات مبتنی بر پروتکل انتقال ابر متن ایمن (HTTPS) است. این ابزار جستوجو ای انجام می دهد تا ارتباطاتی که از مکانیسم ارسال و دریافت اطلاعات با امنیت بالا استفاده نمی‌کنند را شناسایی کند. این ابزار به دنبال اتصالات HTTPS می‌گردد که از سرباره Strict Transport-Security استفاده نمی‌کنند. این کار از آن جهت انجام می‌شود تا به مدیران سایت‌ها اطمینان دهد سایت آن‌ها به درستی از پروتکل فوق استفاده می‌کند و در معرض حملات مرد میانی (man-in-the-middle ) قرار نخواهد گرفت.

یکی از شاخص ترین ویژگی‌های ابزار فوق این است که به توسعه دهندگان اجازه می‌دهد تا مطلع شوند آیا برنامه‌های کاربردی یا سایت‎های آن‌ها به آسیب‌پذیری‌هایی که در نهایت به پیاده‌سازی حملات شنود MIME منجر می‌شوند آلوده هستند یا خیر. در حالی که برای یک سری کاربردهای خاص و تحلیلی می‌توان از مکانیسم شنود MIME استفاده کرد، اما واقعیت این است که این مکانیسم مخاطرات امنیتی مختلفی را به همراه دارد. اما اگر سایتی از گزینه X-Content-Type-Options: nosniff در پاسخ به سربار ها استفاده کند، از شدت این مخاطرات امنیتی کاسته می‌شود. سونار همچنین به بررسی این موضوع میپردازد که آیا سرباره تنظیم کوکی(Cookie-Set) در خاصیت HttpOnly به شکل ایمنی تعریف شده است؟ به طوری که مانع از آن شود تا نشستهای مربوط به کوکی در حملات تزریق اسکریپت به یک سایت (XSS) مورد سوءاستفاده قرار نگیرد؟ در حالت عادی کوکی ها نباید در سراسر پروتکل HTTP انتقال پیدا کنند و همچنین مقادیر مربوط به آنها نیز نباید از طریق جاوا اسکریپت در دسترس قرار گیرد. قابلیت فوق العاده مهم دیگری که سونار به آن تجهیز شده است در ارتباط با کتابخانه و چهارچوب‌های جاوا اسکریپتی است که در سمت کلاینت مورد استفاده قرار می‌گیرد. اگر چهارچوب یا کتابخانه‌ای به آسیب پذیری هایی آلوده باشد و سایتی در سمت کلاینت از آن استفاده کند، سونار قادر است این موضوع را تشخیص دهد. برای این منظور از بانک اطلاعاتی Snky که مشتمل بر آسیب پذیری های شناسایی شده است و همچنین ابزار JS library detector استفاده می‌شود. سونار سرباره هایی را که ممکن است داده‌های حساس و بالقوهای را منتشر کنند مورد بررسی قرار داده و اجازه نمی‌دهد این سرآیندها اطلاعات حساس سایتها را منتشر کنند. همچنین مانع از آن می‌شود تا تغییر مسیرهای غیر‌مجازی به وجود آید که درنهایت کاربران را به سمت سایت‌های فیشینگ و مخرب هدایت می‌کنند.

سونار را میتوانید به شکلی محلی و در قالب یک ابزار خط فرمان مورد استفاده قرار دهید، اما یک نسخه انلاین از آن نیز در دسترس‌تان قرار دارد. این ابزار با محصولات دیگری همچون aXe Core، SSLLabs، snky.io، AMPvalidator، Cloudinary یک‌پارچه شده است.ابزار فوق در نشانی https://sonarwhal.com/scanner  در اختیارتان قرار دارد.