Google heeft open source een nieuwe tool deze dinsdag, in een poging om de uitvoering van geautomatiseerde web beveiligingsscanners verbeteren door deze te beoordelen met patronen van fouten reeds gezien in de wild. Het hulpprogramma nagesynchroniseerde Firing Range is een synthetisch veld testen voor XSS (cross-site scripting) kwetsbaarheden. Dit zijn de meest vaak aangetroffen gebreken in web applications.Firing Range bevat ook andere soorten insecten zoals:
- Flash-injectie
- Reverse click-jacking
- Gemengde inhoud
- Cross-oorsprong resource sharing
Schietbaan Tests Web Application Security scanners
Google heeft deze tool ontwikkeld tijdens het proces van het creëren van een ander product - een web application security scanning tool, nagesynchroniseerde Inquisitie. Schietbaan is een Java-app, aangemaakt op Google App Engine, die op GitHub kunnen worden gekocht. De tool heeft patronen voor de scanner op verschillende XSS gebreken op te sporen, zoals doorgestuurd, DOM-gebaseerde, tag-gebaseerde, weerspiegeld, ontsnapt en op afstand opnemen.
→"Onze testbed probeert niet om een echte applicatie emuleren, noch oefenen de kruipende mogelijkheden van een scanner: het is een verzameling van getrokken uit kwetsbaarheden unieke bug patronen die we hebben gezien in het wild, gericht op het controleren van de detectie mogelijkheden van security tools,"Zegt Claudio Criscione, een Google security engineer, in een blog post.
Volgens Criscione, XSS bugs waren 70% van alle beveiligingsproblemen ontdekt op Google. Het handmatige proces van het onderzoeken van de informatie is vrij dragen voor de onderzoeker.
Geautomatiseerde XSS Finding
Google deskundigen vinden een geautomatiseerde methode voor de behandeling van een aanvraag voor verschillende aanvalsvectoren en bekende contexten kan kwetsbaar productiever zijn. Een uitgebreide versie van Firing Range is beschikbaar voor onderzoekers en ontwikkelaars te controleren en geven een feed-back over eventuele verbeteringen die kunnen worden aangebracht om het gereedschap.
Onderzoekers met Politecnico di Milano hebben ook bijgedragen aan de ontwikkeling van de schietbaan.
Een andere beveiliging gerelateerde tool is een open source door Google in het begin van november - Nogotofail. Het doel is om de veiligheid van het verkeer te inspecteren in het netwerk, concentreren op encryptie bescherming gebreken, door een MitM (man-in-the-middle) proefveld.
Dit is een vrij handig hulpmiddel waarmee ontwikkelaars om te controleren of hun toepassingen zijn beveiligd tegen SSL / TLS gebreken, zoals POODLE bijvoorbeeld.
De betrokken testen hebben betrekking op:
- HTTPS en TLS / SSL bibliotheek bugs
- SSL-certificaat verificatie problemen
- SSL en STARTTLS strippen kwesties
- Duidelijke tekst problemen
