Google выпустила сканер безопасности

Инструмент разрешает найти большая часть XSS-смешанного контента и уязвимостей в приложениях. Компания Гугл выпустила личный сканер безопасности для web-приложений, трудящихся на базе Гугл App Engine. Новинка способна обнаруживать большая часть XSS-смешанного контента и уязвимостей (содержимого, передающегося по HTTP, в случае если сайт трудится на HTTPS).

Как сказал глава инженерного отдела Гугл Роб Манн (Rob Mann) в блоге компании, сканер будет применять компонент Compute Engine для создания больших ботнетов, Большая частота сканирования может составить 20 запросов в секунду, но общее их количество не будет быть больше 100 тысяч.

По словам Манна, Cloud Security Scanner применяет многоэтапный конвейер для обработки уязвимостей в настоящих и эмулируемых браузерах. Как и все остальные динамические сканеры, Cloud Security Scanner не может найти кое-какие своеобразные неточности безопасности, исходя из этого эксперт рекомендует регулярно обращаться к специалистам для обеспечения большого уровня защиты.

Инженер говорит, что инструмент нацелен на то, чтобы обнаруживать неприятности, с которыми чаще всего сталкиваются разработчики при разработке Java-приложений. Cloud Security Scanner отметит смешанный контент, пассивно замечая за HTTP-трафиком. В случае если утилита найдёт Java- либо CSS-запросы, выполняющиеся по HTTP в контексте HTTPS-страницы, разработчик возьмёт соответствующее уведомление.

Сканер создавался прежде всего для простых разработчиков, а не для специалистов в области безопасности, в связи с чем его будет несложнее настроить. Кроме этого, создатели инструмента обещают низкий уровень фальшивых срабатываний.

Пользователи могут запустить сканер, зайдя в меню Compute > App Engine > Security в Консоли для разработчиков Гугл. Напомним, что Cloud Security Scanner не работает с другими компонентами, к примеру, App Engine Managed VM либо Гугл Compute Engine.