Google ha de código abierto una nueva herramienta de este martes, en un intento de mejorar el rendimiento de los escáneres de seguridad web automatizadas mediante la evaluación con los patrones de fallas que ya se han visto en la naturaleza. La utilidad denominado Campo de Tiro es un campo de pruebas sintéticas para XSS (cross-site scripting) vulnerabilidades. Estos son los defectos más frecuentemente encontrado en Web de la categoría applications.Firing también incluye otros tipos de insectos como:
- Inyección de Flash
- Reverse click-jacking
- Contenido mixto
- El intercambio de recursos-origen de la Cruz
Firing Range Pruebas de escáneres de protección de aplicaciones Web
Google ha desarrollado esta herramienta durante el proceso de creación de otro producto - una herramienta de análisis de seguridad de aplicaciones web, apodado Inquisición. Firing Range es una aplicación Java, creado en Google App Engine, que se pueden comprar en GitHub. La herramienta tiene patrones para el escáner para detectar diversos fallos XSS como redirigida, Basado en DOM, basado etiqueta-, reflejado, escapado e inclusión remota.
→"Nuestro banco de pruebas no trata de emular una aplicación real, ni ejercer las funciones que se arrastran de un escáner: es una colección de patrones de errores únicos extraídos de las vulnerabilidades que hemos visto en la naturaleza, destinado a verificar las capacidades de detección de herramientas de seguridad,"Afirma Claudio Criscione, un ingeniero de seguridad de Google, en un blog.
Según Criscione, Errores XSS eran 70% de todas las vulnerabilidades de seguridad detectado en Google. El proceso manual de examinar la información es bastante llevaba para el investigador.
Automatizado XSS Finding
Los expertos de Google a encontrar un método automatizado del examen de una solicitud de diferentes vectores de ataque y contextos conocidos que pueden ser vulnerables a los más productivos. Una versión extendida del Campo de Tiro está disponible para investigadores y desarrolladores para comprobar y dar una retroalimentación acerca de las mejoras que se pueden hacer a la herramienta.
Los investigadores con el Politecnico di Milano también han contribuido al desarrollo del Campo de Tiro.
Otra herramienta relacionada con la seguridad fue de código abierto por parte de Google a principios de noviembre - Nogotofail. Su objetivo es inspeccionar la seguridad del tráfico en la red, concentrándose en los defectos de protección de cifrado, proporcionando un MitM (man-in-the-middle) campo de pruebas.
Esta es una herramienta bastante útil que permite a los desarrolladores para comprobar si sus aplicaciones son seguras contra SSL / TLS defectos, CANICHE como por ejemplo.
Las pruebas implicados se refieren a:
- HTTPS y TLS / SSL errores de la biblioteca
- Problemas de verificación de certificados SSL
- SSL y STARTTLS desbroce temas
- Problemas de texto claro
