Google разрабатывает сканер уязвимостей с открытым кодом

image

Теги: Googl

Сканер проводит так называемое fuzz-тестирование — автоматически отправляет специальные «вредоносные» строки сценариям веб-приложений с целью обнаружения уязвимостей.

Команда специалистов безопасности Google разрабатывает сканер уязвимостей с открытым кодом под названием Lemon и по мере разработки использует его для тестирования своих продуктов. Выпуск на рынок в ближайшем будущем не планируется.

Сканер проводит так называемое fuzz-тестирование — автоматически отправляет специальные «вредоносные» строки сценариям веб-приложений с целью обнаружения уязвимостей. В настоящее время готова разработка, проверяющая сценарии на уязвимость к атакам межсайтового выполнения сценариев (CSS/XSS).

На рынке уже существует ряд fuzz-инструментов с открытым кодом, включая разработки проекта OWASP (Open Web Application Security Project). Однако Lemon будет больше напоминать коммерческий продукт, который не только выполняет функцию проверочного инструмента, но и сканирует веб-приложения. По словам Дэнни Алана (Danny Allan), директора исследований безопасности веб-приложений Watchfire, подобного продукта нет на рынке открытого кода. В fuzz-инструментах с открытым кодом, как правило, необходимо указывать конкретные параметры, что сильно замедляет процесс проверки.

Разработчики намерены включить в Lemon функции сканирования на разнообразные виды уязвимостей, включая межпользовательский дефейс (временная подмена содержимого страницы, отображаемой посетителю, для кражи реквизитов), заражение веб-кэша, заражение куки (модификация куки для обхода аутентификации), утечки трассировки стека, а также уязвимости, связанные с кодировкой текста.

Fuzz-инструменты имеют двойное назначение: специалисты ИТ-безопасности компаний могут сканировать свои корпоративные приложения, а хакеры — произвольные сайты. Однако Google не планирует выводить продукт на рынок, по крайней мере, в ближайшем будущем, поскольку он будет «точно настроен на приложения Google».


или введите имя

CAPTCHA
1
22-07-2007 21:59:35
Vryad li udastsya ispravit eti dirki a s drugoy storoni web-aplication-i na osnove source koda privlecet tuda xakerov. 2:esli udastsya xakeram nayti bug i na etom skanere to mojet i vse obernetsya protiv googla.
0 |
1
22-07-2007 22:06:50
сканер уязвимостей с открытым кодом ... Выпуск на рынок в ближайшем будущем не планируется.либо код открыт и все уже в паблике, либо код закрыт и "выпуск на рынок в ближайшем будущем не планируется".
0 |
1
23-07-2007 14:26:24
Мало что ли сканеров с отрытым кодом? К тому же название взяли которое уже занято другой прогой. И они про эту прогу должны знать, тем более если скриптовой движок писать надумали. Помойму они просто дурью там маются...
0 |
23-07-2007 18:14:24
имхо их прога нашла слишком много ошибок на их же сайтах, поэтому они не спешат с выпуском))
0 |
1
24-07-2007 07:29:14
Вот это круто: "Однако Lemon будет больше напоминать коммерческий продукт" securitylab как обычно на высоте
0 |