Google a open-source d'un nouvel outil ce mardi, dans une tentative pour améliorer la performance des scanners automatisés de sécurité Web en les évaluant avec des motifs de défauts qui ont déjà été vus dans la nature. Le champ de tir de l'utilitaire baptisé est un champ d'essai synthétique pour XSS (cross-site scripting) vulnérabilités. Ce sont les défauts les plus souvent rencontrés dans Web applications.Firing gamme comprend également d'autres types de bugs comme:
- Injection flash
- Inverse clic-jacking
- Contenu mixte
- Le partage des ressources de la Croix-origine
Firing Range Tests Scanners de sécurité des applications Web
Google a développé cet outil au cours du processus de création d'un autre produit - un outil d'analyse de la sécurité des applications web, surnommé Inquisition. Firing Range est une application Java, créé sur Google App Engine, qui peuvent être achetés sur GitHub. L'outil a des modèles pour le scanner pour détecter les diverses failles XSS comme redirigé, Base de DOM, basée sur les balises, reflété, échappé et l'inclusion à distance.
→«Notre banc d'essai ne cherche pas à imiter une application réelle, ni exercer les capacités rampants d'un scanner: il est une collection de modèles uniques de bugs provenant de vulnérabilités que nous avons vu à l'état sauvage, visant à vérifier les capacités de détection des outils de sécurité,», Déclare Claudio Criscione, un ingénieur en sécurité de Google, dans un billet de blog.
Selon Criscione, Bogues XSS étaient 70% de toutes les failles de sécurité détectées à Google. Le processus manuel de l'examen de l'information est tout à fait porte pour le chercheur.
Automated XSS Trouver
Experts Google trouver une méthode automatisée pour l'examen d'une demande de différents vecteurs d'attaque connus et contextes il peut être vulnérable à plus productif. Une version étendue de champ de tir est disponible pour les chercheurs et les développeurs de vérifier et de donner un feed-back sur les améliorations qui peuvent être apportées à l'outil.
Les chercheurs de Politecnico di Milano ont également contribué au développement de champ de tir.
Un autre outil lié à la sécurité a été rendu open-source par Google au début de Novembre - Nogotofail. Son but est d'inspecter la sécurité du trafic dans le réseau, concentrant sur cryptage défauts de protection, en fournissant un MitM (-middle man-in-la) domaine de test.
Ce est un outil plutôt utile qui permet aux développeurs de vérifier si leurs applications sont sécurisées contre SSL / TLS défauts, comme par exemple POODLE.
Les essais se réfèrent à cause:
- HTTPS et TLS bibliothèque bogues / SSL
- Problèmes certificat SSL de vérification
- SSL et STARTTLS décapage questions
- Effacer les problèmes de texte
