Google hat Open-Source ein neues Werkzeug an diesem Dienstag, in einem Versuch, die Leistung von automatisierten Web-Security-Scanner durch und bewertet sie mit Mustern von Fehlstellen, die bereits in freier Wildbahn gesehen worden sind erweitern. Das Dienstprogramm überspielt Firing Range ist ein synthetisches Testfeld für XSS (Cross-Site Scripting) Schwachstellen. Dies sind die am häufigsten anzutreffen Fehler in Web applications.Firing Palette gehören auch andere Arten von Bugs wie:
- Flash-Injektion
- Umge Klick-Jacking
- Mixed Content
- Cross-Origin Resource Sharing
Firing Range Tests Web Application Security Scanner
Eine Web Application Security Scan-Tool - Google hat dieses Tool während des Prozesses der Schaffung einer anderen Produkt entwickelt, spielt Inquisition. Firing Range ist eine Java-App, Google App Engine erstellt, die auf GitHub bezogen werden kann. Das Werkzeug hat Muster für den Scanner an verschiedene XSS Schwachstellen zu erkennen, wie umgeleitet, DOM-basierte, tagbasierten, reflektiert, entkam und Fern Inklusion.
→"Unsere Testumgebung nicht versuchen, einen realen Anwendung zu emulieren, noch üben die Crawling-Fähigkeiten eines Scanners: es ist eine Sammlung von einzigartigen Bug Muster von Schwachstellen gezeichnet, die wir in der Wildnis gesehen haben, bei der Überprüfung der Erkennungsfunktionen von Sicherheitswerkzeugen ausgerichtet,", So Claudio Criscione, eine Google-Sicherheitsingenieur, in einem Blog-Post.
Nach Criscione, XSS-Bugs wurden 70% aller Sicherheitslücken bei Google erkannt. Der manuelle Prozess der Prüfung der Informationen recht tragen für den Forscher.
Automatisierte XSS Finding
Google-Experten finden ein automatisiertes Verfahren für die Prüfung eines Antrags auf verschiedene Angriffsvektoren und bekannten Zusammenhängen kann es anfällig für produktiver sein. Eine erweiterte Version der Schussweite ist für Forscher und Entwickler, um zu überprüfen und geben eine Rückmeldung über etwaige Verbesserungen, die zum Werkzeug gemacht werden können.
Forscher mit Politecnico di Milano haben auch zur Entwicklung der Schussweite beigetragen.
Eine weitere sicherheitsrelevante Tool wurde von Google als Open-Source zu Beginn des November - Nogotofail. Ziel ist es, die Sicherheit des Verkehrs im Netz überprüfen, konzentriert sich auf die Verschlüsselung Schutz Mängel, durch Bereitstellen einer MitM (Man-in-the-Middle-) Testfeld.
Dies ist ein ziemlich nützliches Werkzeug, mit dem Entwickler zu prüfen, ob ihre Anwendung sicher gegen SSL / TLS-Fehler sind erlaubt, wie POODLE beispiels.
Die beteiligten Tests beziehen sich auf:
- HTTPS und TLS / SSL-Bibliothek Bugs
- SSL-Zertifikat Verifikationsprobleme
- SSL und STARTTLS Strippen Fragen
- Klartext-Probleme