Google pada Selasa lepas telah melancarkan Security Testing Tool "Firing Range", yang bertujuan bagi meningkatkan efisiensi applikasi pengimbas automatik keselamatan web dengan menambah skop Cross-site Scripting (XSS) yang lebih meluas dan beberapa kelemahan lain.
Firing Range secara asasnya memberikan persekitaran ujian yang sintetik terutamanya bagi kelemahan XSS yang ditemui lebih kerap pada applikasi laman web. Menurut jurutera keselamatan Google, Claudio Criscione, 70% bugs didalam Google's Vulnerability Reward Program adalah kelemahan XSS.
Sebagai tambahan kepada kelemahan XSS, applikasi baru laman web ini juga akan mengimbas jenis kelemahan lain seperti Reverse Clickjacking, Flash Injection, mixed content, dan Cross-Origin Resource Sharing.
Fring Range dibangunkan oleh google dengan bantuan pengkaji keselamatan lain dari Politecnico di Milano dalam usaha membuat tapak ujian untuk pengimbas automatik. Mereka telah menggunakan Firing Range sebagai "Ujian berterusan dan sebagai pemandu dalam pembangunan kami, menentukan sebanyak mungkin bugs termasuklah yang kami sendiri tidak dapat kesan"
Apa yang menjadikannya berbeza dengan applikasi pengimbas yang lain adalah dengan kebolehannya mengimbas secara automatik yang menjadikannya lebih produktif. Dengan tidak memfokuskan kepada ujian realistik bagi penguji manusia, Firing Range bergantung kepada asas automasi yang dikumpul dalam corak bug yang unik yang telah diperhati oleh Google.
Firing Range merupakan applikasi Java yang dibuat menggunakan Google App Engine. Ianya mengandungi corak bagi pengimbas memfokuskan kelemahan DOM-based, redirected, reflected, tag-based, escaped dan remote inclusion .
Semasa di Google Testing Automation Conference (GTAC) tahun lepas, Criscione mengatakan mengesan kelemahan XSS secara manual pada skala google adalah seperti meminum lautan. Memerhati informasi secara manual adalah meletihkan bagi pengkaji, maka Firing Range pada dasarnya memainkan peranan dengan mengeksploitasi kelemahan tersebut dan mengesan hasil daripada eksploitasi tersebut.
"Program percubaan kami tidak meniru applikasi sebenar ataupun menjalankan aktiviti crawling: ianya merupakan koleksi corak bugs yang telah diperhati selama ini, menyasarkan kepada pengesahan kebolehan pengesanan peralatan keselamatan". Criscione menerangkan di Blog Google Online Security.Firing Range telah dibangunkan oleh engin pencari gergasi ini sementara berusaha dalam 'penyiasatan', applikasi keselamatan web dalaman dibuat sepenuhnya pada Google Chrome dan teknologi Cloud Platform, yang mana menyokong ciri terbaru HTML5 dan mempunyai kadar false-positive yang rendah.
Versi awal yang dikeluarkan (public-firing-range.appspot.com) boleh didapati di Google App dan memandangkan ianya adalah open source, sumber code boleh didapati di GitHub. Pengguna digalakkan untuk menyumbang sebarang maklumbalas mengenai alat ini.
 Terbaru Dari Google){kind=link}
0 comments:
Post a Comment