Mozilla 推出开源的安全测试平台 Minion
据 Mozilla(Firefox 浏览器开发商)官方消息,Mozilla 目前正与黑莓(BlackBerry)在安全方面进行合作,致力于 Web 安全测试技术的研究和推广。此外,Mozilla 还推出了一个开源的安全测试平台 Minion,来帮助更多的开发者和安全专业人员对应用程序进行安全方面的测试。
故障注入技术
Mozilla 与黑莓一起进行的安全研究工作主要集中在故障注入(fault injection)领域,研究内容包括开源的模糊测试工具 Peach v2以及其他的工具。
故障注入(也称为 fuzzing,即模糊测试)是一种自动化的安全测试方法,用于识别应用程序中潜在的安全问题,并在用户处于危险之前进行修复。该方法通过在特定的应用程 序或代码中注入各种意想不到的或不正常的数据,来发现应用程序中不能妥善处理这些异常数据的地方,从而找出潜在的安全隐患。
Mozilla 目前已经成功使用 Peach 对 HTML5 特性执行了模糊测试,其中包括 HTML5 图像格式、音频/视频格式、字体、多媒体 API(WebGL、WebAudio、WebRTC)等。这些测试被证明能够有效确保 Firefox 和 Firefox OS 用户的安全。
安全测试平台 Minion
Mozilla 还推出了 Minion,这是一个开源、免费的安全测试平台,可供开发人员和安全专业人员使用。
Minion 采用不同的方法来执行自动化 Web 安全测试。不像其他安全工具会产生大量的数据且需要专业人员来分析,Minion 致力于准确性和简便性,并能够针对每个开发者提供正确的、可操作的结果,无论开发者是否具备专业的安全知识,都可以通过这个平台来增强应用程序的安全性。
详细信息:The Mozilla Blog