O Google abriu o código-fonte de uma nova ferramenta nesta terça-feira, em uma tentativa de melhorar o desempenho dos scanners de segurança automatizados da web, avaliando-os com padrões de falhas que já foram observados no ambiente. O utilitário batizado de Firing Range é um campo de teste sintético para XSS (cross-site scripting) vulnerabilidades. Estas são as falhas mais frequentemente encontradas em aplicativos da web. A gama de disparo também inclui outros tipos de bugs:
- Injeção de flash
- Click-jacking reverso
- Conteúdo misto
- Compartilhamento de recursos de origem cruzada
Faixa de tiro testa scanners de segurança de aplicativo
O Google desenvolveu esta ferramenta durante o processo de criação de outro produto - uma ferramenta de verificação de segurança de aplicativo da web, apelidado de Inquisição. Firing Range é um aplicativo Java, criado no Google App Engine, que pode ser comprado no GitHub. A ferramenta tem padrões para o scanner detectar várias falhas de XSS como redirecionado, Baseado em DOM, baseado em tag, refletido, inclusão escapada e remota.
→“Nosso testbed não tenta emular um aplicativo real, nem exercitar os recursos de rastreamento de um scanner: é uma coleção de padrões de bugs exclusivos extraídos de vulnerabilidades que vimos na natureza, destinado a verificar as capacidades de detecção de ferramentas de segurança,”Afirma Claudio Criscione, um engenheiro de segurança do Google, em um post de blog.
De acordo com Criscione, Bugs XSS eram 70% de todas as vulnerabilidades de segurança detectadas no Google. O processo manual de exame das informações é bastante desgastante para o pesquisador.
Localização automatizada de XSS
Os especialistas do Google encontram um método automatizado para examinar um aplicativo em busca de diferentes vetores de ataque e contextos conhecidos ao qual ele pode ser vulnerável a. Uma versão estendida do Firing Range está disponível para pesquisadores e desenvolvedores verificarem e darem feedback sobre quaisquer melhorias que possam ser feitas na ferramenta.
Pesquisadores do Politecnico di Milano também contribuíram para o desenvolvimento do Firing Range.
Outra ferramenta relacionada à segurança foi disponibilizada pelo Google no início de novembro - Nogotofail. Seu objetivo é inspecionar a segurança do tráfego na rede, concentrando-se nas falhas de proteção de criptografia, fornecendo um MitM (homem no meio) campo de teste.
Esta é uma ferramenta bastante útil que permite aos desenvolvedores verificar se seus aplicativos são seguros contra falhas SSL / TLS, como POODLE por exemplo.
Os testes envolvidos referem-se a:
- Bugs de biblioteca HTTPS e TLS / SSL
- Problemas de verificação de certificado SSL
- Problemas de remoção de SSL e STARTTLS
- Problemas de texto claro
