21 nov. 2014

Firing Range: herramienta de Google para encontrar XSS

Google lanzó una herramienta de prueba de seguridad llamada Firing Range, destinada a analizar la eficacia de las herramientas de analisis Web y evaluarlas con una amplia gama de pruebas contra Cross-site Scripting (XSS) y algunas otras vulnerabilidades web muy comunes.

Firing Range proporciona un entorno de prueba muy básico para probar la eficacia de las herramientas de detección de vulnerabilidad XSS. Según Google, el 70 por ciento de los errores encontrados por su programa de recompensa son defectos relacionados a este tipo de vulnerabilidades. Además de las vulnerabilidades XSS, el nuevo escáner también analiza otros tipos de vulnerabilidades incluyendo Clickjacking, inyecciones en Flash, contenido de HTML/JS mixto y Cross-origin Resource Sharing.

La herramienta fue desarrollada por Google con la ayuda de los investigadores de seguridad del Politecnico di Milano. La idea es construir una herramienta en desarrollo continuo que permita agregar a mayor cantidad de errores posibles.


En la Google Test Automation Conference (GTAC), la empresa señaló que detectar vulnerabilidades XSS a mano es como beber del océano y según indican, la diferencia con otras herramientas está en la capacidad de automatización, lo que hace que sea más productiva su utilización: Firing Range se basa en una colección de patrones de fallos extraídos de vulnerabilidades encontradas In-the-Wild y observadas por Google.

Actualmente Google se encuentra desarrollando una herramienta de auditoría de vulnerabilidades para uso interno (a la que llaman Inquisition) para la cual necesitaban casos reales de vulnerabilidades para probar su eficacia.

Firing Range es una aplicación Java construida sobre Google App Engine y su código está disponible Github y se puede utilizar desde public-firing-range.appspot.com.

Fuente: The Hacker News

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!