Google出品:开源Web App漏洞测试环境 – Firing Range
Google于周二发布了一个名为Firing Range的安全漏洞测试环境,旨在通过评估Web应用在XSS和其他方面的安全性,提高自动化扫描器的效率。
Firing Range是由Google与米兰理工大学的安全研究员合作开发的,目的是为自动化扫描器建造一个“试验场”。Google公司自己也在使用Firing Range,目的“一是帮助我们测试,二是定义尽可能多的漏洞类型,包括一些我们目前尚且不能检测的”。
这款漏洞测试应用于其他产品不同的便是它自动化的能力,这样的能力使得效率大大提升。Firing Range依赖基于Google从互联网中收集的独特的漏洞模式。
支持测试的漏洞类型
Firing Range提供了一个测试环境,主要测试跨站脚本漏洞(XSS),跨站脚本在Web应用中十分常见,Claudio Criscione,Google安全工程师称,Google漏洞奖励计划中70%的漏洞都是XSS漏洞。
除了XSS漏洞这款扫描器也会扫描其他了新的漏洞包括 点击劫持、Flash注入、混合活动内容和跨域资源共享漏洞。
运行方式
Firing Range是一款运行在Google App Engine上的Java应用。扫描器中包含一些针对DOM型XSS、重定向漏洞、反射型XSS和远程包含漏洞的规则。
Criscione在Google在线安全博客 解释道:“我们的测试床(testbed)不是要去模拟真实的应用或者训练扫描器的爬取能力:我们是要通过收集漏洞寻找到他们的模式,验证安全工具的检测能力。”
Firing Range工具是Google在制作Inquisition时开发的,Inquisition是一款基于Google Chrome和云平台技术的内置web应用安全扫描工具,工具支持新的HTML5,误报率低。
你可以访问已经部署在Google App Engine的 Firing Range,也可以在GitHub查看它的 源码。
[参考信息来源 THN 译/Sphinx。转载须注明来自FreeBuf.COM]