Google ha open-source di un nuovo strumento di questo Martedì, nel tentativo di migliorare le prestazioni dei body scanner web automatici da loro valutazione con modelli di difetti che sono già state viste in natura. L'utilità soprannominato poligono di tiro è un campo di prova sintetico per XSS (scripting cross-site) vulnerabilità. Questi sono i difetti più spesso incontrato in web applications.Firing gamma comprende anche altri tipi di insetti come:
- Iniezione Flash
- Reverse click-jacking
- Contenuto misto
- Cross-origine condivisione delle risorse
Poligono Test Application Web body scanner
Google ha messo a punto questo strumento durante il processo di creazione di un altro prodotto - uno strumento di scansione di sicurezza delle applicazioni web, soprannominato Inquisizione. Poligono di tiro è un app Java, creato su Google App Engine, che possono essere acquistati su GitHub. Lo strumento dispone di modelli per lo scanner per rilevare i vari difetti XSS come reindirizzato, Basato su DOM, basato su tag, riflessa, sfuggito e l'inclusione remota.
→"Il nostro banco di prova non cerca di emulare una vera e propria applicazione, né esercitare le funzioni di scansione di uno scanner: si tratta di una collezione di modelli di bug unici tratti dalla vulnerabilità che abbiamo visto nel selvaggio, finalizzato a verificare le capacità di rilevamento di strumenti di sicurezza,"Afferma Claudio Criscione, un ingegnere della sicurezza di Google, in un post sul blog.
Secondo Criscione, Bug XSS erano 70% di tutte le vulnerabilità di sicurezza rilevate a Google. Il processo manuale di esaminare l'informazione è abbastanza indossa per il ricercatore.
Automated XSS Finding
Esperti di Google a trovare un metodo automatizzato per l'esame di una domanda di diversi vettori di attacco e contesti noti che possono essere vulnerabili a più produttivi. Una versione estesa di poligono di tiro è disponibile per i ricercatori e gli sviluppatori di controllare e dare un feed-back su eventuali miglioramenti che possono essere apportati allo strumento.
I ricercatori con il Politecnico di Milano hanno anche contribuito allo sviluppo di poligono di tiro.
Un altro strumento in materia di sicurezza è stata open source da parte di Google, all'inizio del mese di novembre - Nogotofail. Il suo scopo è quello di controllare la sicurezza del traffico nella rete, concentrandosi su difetti di protezione di crittografia, fornendo un MitM (man-in-the-middle) test sul campo.
Questo è uno strumento piuttosto utile che consente agli sviluppatori di controllare se le loro applicazioni sono sicuri contro SSL / TLS difetti, come per esempio BARBONCINO.
I test coinvolti si riferiscono a:
- HTTPS e TLS / SSL bug biblioteca
- Problemi di verifica del certificato SSL
- SSL e STARTTLS strippaggio problemi
- Cancella problemi di testo
