Безопасность Google Releases New сканер на его облачной платформе

сканер

Гугл Cloud Security Scanner идентифицирует уязвимости совокупности обеспечения безопасности в веб-приложениях Гугл App Engine.С безопасностью облачного развертывания основное беспокойство о практически всех разработчиках ПО Гугл 19 февраля, выпущенный к бете-тестированию, новый сканер утечки безопасности для приложений основывался на собственной облачной платформе.

Гугл Cloud Security Scanner идентифицирует уязвимости совокупности обеспечения безопасности в веб-приложениях Гугл App Engine. Это контролирует приложение, идет по всем ссылкам в рамках стартовых URL и пробует осуществить как возможно больше вводов данных пользователем и обработчиков событий.

Лишь регулярные экземпляры Механизма Приложения поддерживаются; безопасность Сканер не имеет возможности употребляться с Механизмом Приложения Управляемый VMs, Гугл Compute Engine либо каждые другие ресурсы, записал Роб Манн, Технический начальник безопасности Гугл, в сообщении в блоге.«Развертывание новой сборки есть яркими ощущениями, но любой выпуск должен быть отсканирован для уязвимостей совокупности обеспечения безопасности», сообщил Манн. «И тогда как сканеры безопасности веб-приложения существовали в течение многих лет, они являются не всегда подходящими для разработчиков Гугл App Engine. Их довольно часто тяжело установить, подверженный сверхотчетности о проблемах (фальшивые хорошие стороны) — что возможно долгим, дабы отфильтровать и сортировать — и созданный для экспертов по безопасности, не разработчиков».

Манн предостерег разработчиков, что новый сканер безопасности имеет собственные ограничения.«Сканер дополняет Ваши существующие разработки и безопасные процессы проектирования. Это не заменяет ручной обзор безопасности, и это не гарантирует, что Ваше приложение лишено недостатков безопасности», сообщил Манн. «Сканер минимизирует фальшивые хорошие стороны, так, он не отыщет любой вероятный тип уязвимости».Как это трудитсятестирование и Проверка современного HTML5 и тяжелых JavaScript приложений с богатыми многоступенчатыми пользовательскими интерфейсами намного более сложны, чем сканирование главной страницы HTML, сообщил Манн.

Существует два неспециализированных подхода к данной проблеме:- Проанализируйте HTML и эмулируйте браузер. Это скоро; но, это прибывает за счет недостающих действий сайта, каковые требуют полного ЮРИДИЧЕСКОГО АДРЕСА либо объединяют операции JavaScript.

— Применяйте настоящий браузер. Данный подход избегает, дабы покрытие синтаксического анализатора порвало, и самый близко моделирует опыт сайта.

Но это возможно медлительно благодаря увольнения события, динамического исполнения и время, нужное для ЮРИДИЧЕСКОГО АДРЕСА для расчета.Сканер Безопасности облака обращается к не сильный местам обоих подходов при помощи многоступенчатого конвейера, сообщил Манн. Во-первых, сканер делает скоростную передачу, контролируя и разбирая HTML. Это тогда делает медленный и полный полностраничный рендеринг для нахождения более сложных частей сайта.

Тогда сканер масштабируется горизонтально. «Применяя Гугл Compute Engine, мы динамично создаем ботнет сотен виртуальных работников Chrome для сканирования сайта», сообщил Манн. «Не переживайте, каждое сканирование ограничено 20 запросами в секунду либо ниже».Сканирования на нескольких уровнях«Тогда мы нападаем на Ваш сайт (опять, не переживайте)!

При тестировании на XSS мы используем полностью мягкую нужную нагрузку, которая надеется на Chrome DevTools для исполнения отладчика. Когда отладчик стреляет, мы знаем, что у нас имеется исполнение кода JavaScript, так, фальшивые хорошие стороны практически не существуют», сообщил Манн.Как со всеми динамическими сканерами уязвимости, сообщил Манн, чистое сканирование не обязательно свидетельствует, что Вы — безопасность, без неточности. Google все еще рекомендует ручной обзор безопасности эксперта по безопасности Веб-приложения, лишь дабы быть уверенным.

Для получения дополнительной информации о веб-безопасности ищите тему тут на eWEEK и см. Лучшие Десять Проектов OWASP.


11 comments

  1. пришла раша — разруза и голод. А все мечтали о пенсиях и зарплатах в два раза выше…..

Добавить комментарий