Googleは今週火曜日に新しいツールをオープンソース化しました, 自動化されたWebセキュリティスキャナーのパフォーマンスを、すでに野生で見られている欠陥のパターンで評価することによって強化しようとしています. 射撃場と呼ばれるユーティリティは、XSSの総合的なテストフィールドです (クロスサイトスクリプティング) 脆弱性. これらは、Webアプリケーションで最も頻繁に発生する欠陥です。射撃場には、次のような他の種類のバグも含まれます。:
- フラッシュインジェクション
- リバースクリックジャッキング
- 混合コンテンツ
- クロスオリジンリソースシェアリング
射撃場テストWebアプリケーションセキュリティスキャナー
Googleは、別の製品を作成する過程でこのツールを開発しました–Webアプリケーションセキュリティスキャンツール, 吹き替え異端審問. 射撃場はJavaアプリです, GoogleAppEngineで作成, GitHubで購入できます. このツールには、リダイレクトされたようなさまざまなXSSの欠陥をスキャナーが検出するためのパターンがあります, DOMベース, タグベース, 反映, エスケープされたリモートインクルージョン.
→「私たちのテストベッドは実際のアプリケーションをエミュレートしようとはしていません, スキャナーのクロール機能を行使することもできません: これは、私たちが野生で見た脆弱性から引き出されたユニークなバグパターンのコレクションです。, セキュリティツールの検出機能を検証することを目的としています,」とクラウディオ・クリシオーネは述べています, Googleのセキュリティエンジニア, ブログ投稿で.
Criscioneによると, XSSのバグは 70% Googleで検出されたすべてのセキュリティ脆弱性の. 情報を調べる手動のプロセスは、研究者にとって非常に身に着けています。.
自動XSS検出
Googleの専門家は、さまざまな攻撃ベクトルと既知のコンテキストについてアプリケーションを調査するための自動化された方法を見つけ、より生産的に脆弱になる可能性があります. 射撃場の拡張バージョンは、研究者や開発者がツールに加えることができる改善について確認し、フィードバックを提供するために利用できます.
PolitecnicodiMilanoの研究者も射撃場の開発に貢献しています.
別のセキュリティ関連ツールは、11月の初めにGoogleによってオープンソース化されました– Nogotofail. その目的は、ネットワーク内のトラフィックのセキュリティを検査することです, 暗号化保護の欠陥に集中する, MitMを提供することによって (真ん中の男) テストフィールド.
これは、開発者がアプリケーションがSSL/TLSの欠陥に対して安全であるかどうかを確認できる便利なツールです。, たとえばプードルのように.
関連するテストは、:
- HTTPSおよびTLS/SSLライブラリのバグ
- SSL証明書の検証の問題
- SSLおよびSTARTTLSストリッピングの問題
- クリアテキストの問題
