Hjem > Cyber ​​Nyheder > Software anmeldelser > Google Open Sources Firing Range – Ny test værktøj for Web Application securityscannere
ANMELDELSER

Google åbne kilder skydebane – Ny test værktøj for Web Application securityscannere

Google har open source et nyt værktøj denne tirsdag, i et forsøg på at øge effektiviteten af ​​automatiserede web securityscannere ved at vurdere dem med mønstre af fejl, der allerede er set i naturen. Den nytte døbt Firing Range er et syntetisk vilkår for XSS test (cross-site scripting) sårbarheder. Disse er de oftest støder fejl i web applications.Firing serien omfatter også andre former for bugs som:Googles åbne kilder skydebanen - Ny test værktøj for Web Application securityscannere

  • Flash injektion
  • Reverse click-jacking
  • Blandet indhold
  • Cross-oprindelse ressourcedeling

Skydebane Tests Web Application Security Scannere

Google har udviklet dette værktøj under processen med at skabe et andet produkt - en web-applikation sikkerhed scanning værktøj, eftersynkroniseret inkvisitionen. Skydebane er en Java app, skabt på Google App Engine, som kan købes på GitHub. Værktøjet har mønstre for scanneren til at detektere forskellige XSS mangler ligesom omdirigeret, DOM-baserede, tagbaseret, afspejles, undslap og remote inklusion.

→"Vores testbed forsøger ikke at efterligne en rigtig ansøgning, heller ikke udøve de kravlende evner en scanner: Det er en samling af unikke bug mønstre hentet fra sårbarheder, som vi har set i naturen, tager sigte på at efterprøve sporingskapaciteten af ​​sikkerhedsværktøjer,"Siger Claudio Criscione, en Google sikkerhed ingeniør, i et blogindlæg.

Ifølge Criscione, XSS bugs var 70% af alle sikkerhedshuller opdaget på Google. Den manuelle proces med at undersøge oplysningerne helt iført for forskeren.

Automatiseret XSS Finding

Google eksperter finde en automatiseret metode for behandlingen af ​​en ansøgning om forskellige angrebsvektorer og kendte sammenhænge kan det være sårbare over for mere produktive. En udvidet version af skudvidde er til rådighed for forskere og udviklere til at kontrollere og give en tilbagemelding om eventuelle forbedringer, der kan gøres til værktøjet.

Forskere med Politecnico di Milano har også bidraget til udviklingen af ​​skydebanen.

Et andet sikkerhedsrelateret værktøjet blev open source af Google i begyndelsen af ​​November - Nogotofail. Dens formål er at inspicere trafikken sikkerhed i netværket, koncentrere sig om krypteringsbeskyttelse fejl, ved at give en MITM (man-in-the-middle) afprøvning i marken.

Dette er en temmelig nyttigt værktøj, der giver udviklere mulighed for at kontrollere, om deres ansøgninger er sikret mod SSL / TLS mangler, ligesom POODLE for eksempel.

De involverede test referer til:

  • HTTPS og TLS / SSL bibliotek bugs
  • Verifikation SSL-certifikat problemer
  • SSL og STARTTLS stripping spørgsmål
  • Slet tekst problemer

Berta Bilbao

Berta er en dedikeret malware forsker, drømmer om en mere sikker cyberspace. Hendes fascination af it-sikkerhed begyndte for et par år siden, da en malware låst hende ud af hendes egen computer.

Flere indlæg

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig