Google Lanzó una Herramienta de Prueba de Seguridad Llamada Firing Range,

Google lanzó el martes una herramienta de prueba de seguridad “Campo de Tiro”, que apunta a mejorar la eficiencia de los escáneres de seguridad de aplicaciones web automatizadas mediante la evaluación de ellos con una amplia gama de cross-site scripting (XSS) y algunas otras vulnerabilidades web visto en la naturaleza .

Campo de Tiro básicamente proporciona un entorno de prueba sintética sobre todo para cross-site scripting (XSS) que se observan con mayor frecuencia en las aplicaciones web. Según el ingeniero de seguridad de Google Claudio Criscione, el 70 por ciento de los errores en el Programa de Recompensa vulnerabilidad de Google son defectos cross-site scripting.
Además de las vulnerabilidades XSS, el nuevo escáner de aplicaciones web también buscará otros tipos de vulnerabilidades, incluyendo clickjacking inversa, inyección Flash, contenido mixto, y de origen cruz vulnerabilidades de intercambio de recursos.
Campo de Tiro fue desarrollado por Google con la ayuda de los investigadores de seguridad en el Politecnico di Milano, en un esfuerzo para construir un campo de pruebas para los escáneres automatizados. La compañía ha utilizado Firing Range sí “tanto como una ayuda de pruebas continuas y como motor de nuestro desarrollo, definiendo como muchos tipos de errores como sea posible, incluyendo algunas que no podemos detectar (todavía!).”
Lo que lo hace diferente de otras aplicaciones de prueba vulnerables disponibles es su capacidad para utilizar la automatización, que hace que sea más productivo. En lugar de centrarse en la creación de bancos de pruebas que parecen reales para probadores humanos, Campo de Tiro depende de la automatización basada en una colección de patrones de errores únicos extraídos de in-the-wild vulnerabilidades observadas por Google.

Firing Range es una aplicación Java que se ha construido en Google App Engine. Incluye patrones para el escáner para centrarse en DOM-basa, redirigido, refleja, en base de TAG, escapó y errores de inclusión remota.

En la Conferencia Google Testing Automation (GTAC) el año pasado, Criscione dijo que la detección de vulnerabilidades XSS a mano “a escala de Google” es como beber el océano. El paso por la información de forma manual es tanto agotador y contraproducente para el investigador, asique Firing Range entra en juego que esencialmente explotar el bug y detectar los resultados de esa explotación.

“Nuestro banco de pruebas no trata de emular una aplicación real, ni ejercer las capacidades de rastreo de un escáner: se trata de una colección de patrones de errores únicos extraídos de las vulnerabilidades que hemos visto en la naturaleza, a fin de verificar las capacidades de detección de herramientas de seguridad, “Criscione explicó en el blog de Google Seguridad Online.
Firing Range herramienta ha sido desarrollada por el gigante motor de búsqueda mientras se trabaja en “Inquisición”, una herramienta interna de análisis de seguridad de aplicaciones web construido enteramente en tecnologías de Google Chrome y plataforma en la nube, con soporte para las últimas características de HTML5 y tiene una tasa de falsos positivos bajo.

Una versión implementada ( public-firing-range.appspot.com ) del Campo de Tiro está disponible en Google App Engine y puesto que la herramienta es de código abierto también se puede encontrar y el check out el código fuente en GitHub . Los usuarios están invitados a contribuir a la herramienta con cualquier comentario.

Leave a Comment