want to advertise here $100 / views

Nov 20, 2014

Firing Range

Google pada Selasa meluncurkan Keamanan alat uji "Firing Range", yang bertujuan untuk meningkatkan efisiensi otomatis scanner keamanan aplikasi Web dengan mengevaluasi mereka dengan berbagai cross-site scripting (XSS) dan beberapa kerentanan web lainnya terlihat di alam liar .

Firing Range dasarnya menyediakan lingkungan pengujian sintetis sebagian besar untuk cross-site scripting (XSS) kerentanan yang terlihat paling sering pada aplikasi web. Menurut insinyur keamanan Google Claudio Criscione, 70 persen dari bug di Program Kerentanan Reward Google adalah cross-site scripting kelemahan.

Selain kerentanan XSS, scanner aplikasi web baru juga scan untuk jenis lain kerentanan termasuk clickjacking terbalik, injeksi Flash, konten campuran, dan lintas-asal kerentanan berbagi sumber daya.

Firing Range dikembangkan oleh Google dengan bantuan peneliti keamanan di Politecnico di Milano dalam upaya untuk membangun tanah uji untuk scanner otomatis. Perusahaan telah menggunakan Firing Range sendiri "baik sebagai alat bantu pengujian terus menerus dan sebagai driver untuk pembangunan kita, mendefinisikan banyak jenis bug mungkin, termasuk beberapa yang kita tidak dapat mendeteksi (belum!)."

Apa yang membuatnya berbeda dari aplikasi uji rentan lain yang tersedia adalah kemampuannya untuk menggunakan otomatisasi, yang membuatnya lebih produktif. Alih-alih berfokus pada menciptakan testbeds realistis-mencari penguji manusia, Firing Range bergantung pada otomatisasi berdasarkan koleksi pola bug unik diambil dari kerentanan diamati oleh Google.

Firing Range adalah aplikasi Java yang telah dibangun di Google App Engine. Ini mencakup pola scanner untuk fokus pada DOM berbasis, diarahkan, tercermin, berbasis tag, melarikan diri dan remote inklusi bug.

Pada Otomasi Konferensi Pengujian Google (GTAC) tahun lalu, Criscione mengatakan bahwa mendeteksi XSS kerentanan dengan tangan "dalam skala Google" seperti meminum laut. Akan melalui informasi secara manual adalah baik melelahkan dan kontra-produktif bagi peneliti, jadi di sini Firing Range datang ke dalam bermain yang pada dasarnya akan mengeksploitasi bug dan mendeteksi hasil eksploitasi itu.

"Testbed kami tidak mencoba untuk meniru aplikasi nyata, atau latihan kemampuan merangkak dari scanner: itu adalah kumpulan pola bug unik yang diambil dari kerentanan yang telah kita lihat di alam liar, bertujuan untuk memverifikasi kemampuan deteksi alat keamanan, "Criscione menjelaskan pada Blog online Keamanan Google.

Memecat alat Rentang telah dikembangkan oleh mesin pencari raksasa ketika bekerja pada "Inkuisisi", sebuah aplikasi web alat pemindaian keamanan internal seluruhnya dibangun di atas teknologi Google Chrome dan Cloud Platform, dengan dukungan untuk fitur HTML5 terbaru dan memiliki tingkat positif palsu yang rendah.

Sebuah versi dikerahkan (public-firing-range.appspot. com) dari Firing Range tersedia di Google App Engine dan karena alat ini open source Anda juga dapat menemukan dan memeriksa kode sumber di GitHub(). Pengguna didorong untuk berkontribusi pada alat dengan umpan balik.

Artikel Terkait

0komentar:

Post a Comment