Новая разработка Google: сканер уязвимостей с открытым кодом

Discussion in 'Мировые новости. Обсуждения.' started by .::eX-Tezy::., 20 Jul 2007.

  1. .::eX-Tezy::.

    .::eX-Tezy::. Elder - Старейшина

    Joined:
    28 Jun 2007
    Messages:
    13
    Likes Received:
    20
    Reputations:
    5
    Команда специалистов безопасности Google разрабатывает сканер уязвимостей с открытым кодом под названием Lemon и по мере разработки использует его для тестирования своих продуктов. Выпуск на рынок в ближайшем будущем не планируется, сообщил The Register.

    Сканер проводит так называемое fuzz-тестирование — автоматически отправляет специальные «вредоносные» строки сценариям веб-приложений с целью обнаружения уязвимостей. В настоящее время готова разработка, проверяющая сценарии на уязвимость к атакам межсайтового выполнения сценариев (CSS/XSS).

    На рынке уже существует ряд fuzz-инструментов с открытым кодом, включая разработки проекта OWASP (Open Web Application Security Project). Однако Lemon будет больше напоминать коммерческий продукт, который не только выполняет функцию проверочного инструмента, но и сканирует веб-приложения. По словам Дэнни Алана (Danny Allan), директора исследований безопасности веб-приложений Watchfire, подобного продукта нет на рынке открытого кода. В fuzz-инструментах с открытым кодом, как правило, необходимо указывать конкретные параметры, что сильно замедляет процесс проверки.

    Разработчики намерены включить в Lemon функции сканирования на разнообразные виды уязвимостей, включая межпользовательский дефейс (временная подмена содержимого страницы, отображаемой посетителю, для кражи реквизитов), заражение веб-кэша, заражение куки (модификация куки для обхода аутентификации), утечки трассировки стека, а также уязвимости, связанные с кодировкой текста.

    Fuzz-инструменты имеют двойное назначение: специалисты ИТ-безопасности компаний могут сканировать свои корпоративные приложения, а хакеры — произвольные сайты. Однако Google не планирует выводить продукт на рынок, по крайней мере, в ближайшем будущем, поскольку он будет «точно настроен на приложения Google».

    Источник: http://safe.cnews.ru/
    20 июля 2007 года, 18:49
     
    #1 .::eX-Tezy::., 20 Jul 2007
    Last edited by a moderator: 20 Jul 2007
    3 people like this.
  2. XHTTP

    XHTTP Elder - Старейшина

    Joined:
    24 Feb 2007
    Messages:
    180
    Likes Received:
    133
    Reputations:
    65
    google походу возглавляет хацкер)) Сначало скрывают полный ip адрес в логах поисковика теперь сканер опен сорс...)
    Конечно респект, но попахивает жареным...
     
  3. darky

    darky ♠ ♦ ♣ ♥

    Joined:
    18 May 2006
    Messages:
    1,773
    Likes Received:
    825
    Reputations:
    1,418
    Lemon =))) русски падонки наверно пишут.. можно было еще называть Orbuz, Bonan или Klubni4ko
     
    1 person likes this.
  4. XHTTP

    XHTTP Elder - Старейшина

    Joined:
    24 Feb 2007
    Messages:
    180
    Likes Received:
    133
    Reputations:
    65
    Угу, Россия страна мозгов ))
     
  5. vvs777

    vvs777 Elder - Старейшина

    Joined:
    16 Nov 2004
    Messages:
    394
    Likes Received:
    213
    Reputations:
    4
    Ну респект если сделают... хотя настолько все универсально звучит как будто они вольтметр изобретают. Цепь есть - покажет скольео дыр. Цепи нет - хрен покажет а дырывсе равно есит =)
     
Loading...