Адміну:
Google ситворює сканер вразливостей з відкритим кодом
Сканер із назвою Lemon, знаходиться поки на стадії створення
дослідниками безпеки рекламного гіганта, але вже застосовується
усередині компанії. Поки невідомо, чи випустить Google інструмент для
перевірки на помилки на ширшому рівні. Безкоштовні сканери на
уразливість, такі як Nessus, вже існують, а фірми, як eEye і
Foundstone продають комерційні продукти.
Сканер проводить так зване fuzz-тестування - автоматично відправляє
спеціальні «шкідливі» рядки сценаріям веб-додатків з метою виявлення вразливостей. В даний час готова розробка, перевіряюча сценарії на
вразливість до атак міжсайтового виконання сценаріїв (CSS/XSS). Пізніше команда планує
додати тести для SQL-інжекції (інший клас вразливостей).
На ринку вже існує ряд fuzz-інструментів з відкритим кодом, включаючи
розробки проекту OWASP (Open Web Application Security Project). Проте
Lemon більше нагадуватиме комерційний продукт, який не тільки виконує
функцію перевірочного інструменту, але і сканує веб-додаток. За
словами Денні Алана (Danny Allan), директора досліджень безпеки
веб-додатків Watchfire, подібного продукту немає на ринку відкритого
коду. У fuzz-інструментах з відкритим кодом, як правило, необхідно вказувати конкретні параметри, що сильно уповільнює процес перевірки.
Розробники мають намір включити в Lemon функції сканування на
різноманітні види вразливостей, включаючи міжкористувацький дефейс (тимчасова підміна вмісту сторінки, що відображається
відвідувачу, для крадіжки реквізитів), зараження веб-сервера-кеша,
зараження куки (модифікація куки для обходу аутентифікації), витоки
трасування стека, а також вразливості, пов'язані з кодуванням тексту.
Межсайтовий скриптинг залишається основною метою створення інструменту. У
минулому додатки, подібні Gmail, були предметом помилок процесу
розробки, таких як атаки XSS. Розвиваючись, програма зможе полегшити
виправлення дефектів додатків в ході створення .
Fuzz-інструменти мають подвійне призначення: фахівці ІТ-безпеки
компаній можуть сканувати свої корпоративні додатки, а хакери -
довільні сайти. Проте Google не планує виводити продукт на ринок,
принаймні, в найближчому майбутньому, оскільки він буде «точно
налаштований на застосунки GoogleВar».
За матеріалами:
23.07.2007
Матеріали за темою:
Творець веба виступив за нейтралітет мережі
Новий троян – план ігор чемпіонату по футболу
Приклад успішної цензури в Інтернет. Китай та Google
Google надасть статистику пошукових запитів американській владі
Goobuntu - операційка від Google
Творець веба виступив за нейтралітет мережі
Новий троян – план ігор чемпіонату по футболу
Приклад успішної цензури в Інтернет. Китай та Google
Google надасть статистику пошукових запитів американській владі
Goobuntu - операційка від Google
Коментарі (5) | Залишити коментар
| Keyanna | 15.06.2011 19:03 |
| Very true! Makes a chngae to see someone spell it out like that. :) |
| cheap oem software | 12.02.2012 13:06 |
| bJI91a I serched through the internet and got here. What a wonderful invention of the mankind. With the help of the network you communicate, learn, read !... That helped us to get acquainted!.... |
| buy cheap oem software | 12.02.2012 19:31 |
| eDWmWR Totally agree with you, about a week ago wrote about the same in my blog..! |
| Buy Cheap OEM Software | 08.03.2012 01:51 |
| z9U2Xp Great article post.Thanks Again. |
| Adobe OEM Software | 09.03.2012 04:41 |
| xBStSL Thanks-a-mundo for the blog post.Thanks Again. Really Great. |
