Google entiende que los sistemas de escaneo de seguridad para las
aplicaciones web no siempre son las adecuadas para los desarrolladores,
pudiendo ser incluso de difícil configuración, con el añadido de que el
exceso de información que se ofrecen desde los propios informes, hagan
que estas herramientas están mayormente orientadas a los profesionales
de la seguridad. Te recomendamos este excelente artículo de tarjetas pvc dale clic a este enlace.
En este sentido, Google acaba de poner a disposición de los desarrolladores de App Engine
el nuevo servicio Cloud Security Scanner, en fase beta, con la que
podrán escanear sus aplicaciones web para detectar si disponen de dos
vulnerabilidades comunes: cross-site scripting (XSS) y el contenido
mixto. En cada verificación, Google cuenta con una pequeña red de bots
de Compute Engine que escanean el sitio, ofreciendo unas quince
peticiones por segundo. En una segunda pasada, el escaneo se fija en
partes más complejas del mismo, y posteriormente, realiza una especie de
ataque al mismo a través de una carga de peticiones.
Para
realizar esta acción, Google utiliza el depurador integrado en la
DevTools de Chrome, encargándose de comprobar cualquier cambio que se
produzca en el navegador y en el DOM para verificar si la inyección se
ha realizado satisfactoriamente, y por ende, si podría llegar a ser
explotada.
Google quiere con Cloud Security Scanner enfocarse en
tres objetivos: que sea de fácil instalación y uso, que detecte los
problemas más comunes a los que los desarrolladores de App Engine deben
enfrentarse con mínimo de falsos positivos, y que soporte el escaneos
potentes que puedan con aplicaciones web con pesados comandos
JavaScript.
Fuente: wwwhatsnew
No hay comentarios:
Publicar un comentario