Google har open source et nyt værktøj denne tirsdag, i et forsøg på at øge effektiviteten af automatiserede web securityscannere ved at vurdere dem med mønstre af fejl, der allerede er set i naturen. Den nytte døbt Firing Range er et syntetisk vilkår for XSS test (cross-site scripting) sårbarheder. Disse er de oftest støder fejl i web applications.Firing serien omfatter også andre former for bugs som:
- Flash injektion
- Reverse click-jacking
- Blandet indhold
- Cross-oprindelse ressourcedeling
Skydebane Tests Web Application Security Scannere
Google har udviklet dette værktøj under processen med at skabe et andet produkt - en web-applikation sikkerhed scanning værktøj, eftersynkroniseret inkvisitionen. Skydebane er en Java app, skabt på Google App Engine, som kan købes på GitHub. Værktøjet har mønstre for scanneren til at detektere forskellige XSS mangler ligesom omdirigeret, DOM-baserede, tagbaseret, afspejles, undslap og remote inklusion.
→"Vores testbed forsøger ikke at efterligne en rigtig ansøgning, heller ikke udøve de kravlende evner en scanner: Det er en samling af unikke bug mønstre hentet fra sårbarheder, som vi har set i naturen, tager sigte på at efterprøve sporingskapaciteten af sikkerhedsværktøjer,"Siger Claudio Criscione, en Google sikkerhed ingeniør, i et blogindlæg.
Ifølge Criscione, XSS bugs var 70% af alle sikkerhedshuller opdaget på Google. Den manuelle proces med at undersøge oplysningerne helt iført for forskeren.
Automatiseret XSS Finding
Google eksperter finde en automatiseret metode for behandlingen af en ansøgning om forskellige angrebsvektorer og kendte sammenhænge kan det være sårbare over for mere produktive. En udvidet version af skudvidde er til rådighed for forskere og udviklere til at kontrollere og give en tilbagemelding om eventuelle forbedringer, der kan gøres til værktøjet.
Forskere med Politecnico di Milano har også bidraget til udviklingen af skydebanen.
Et andet sikkerhedsrelateret værktøjet blev open source af Google i begyndelsen af November - Nogotofail. Dens formål er at inspicere trafikken sikkerhed i netværket, koncentrere sig om krypteringsbeskyttelse fejl, ved at give en MITM (man-in-the-middle) afprøvning i marken.
Dette er en temmelig nyttigt værktøj, der giver udviklere mulighed for at kontrollere, om deres ansøgninger er sikret mod SSL / TLS mangler, ligesom POODLE for eksempel.
De involverede test referer til:
- HTTPS og TLS / SSL bibliotek bugs
- Verifikation SSL-certifikat problemer
- SSL og STARTTLS stripping spørgsmål
- Slet tekst problemer