Google a lancé cette semaine un outil de pentesting nommé “Firing Range“, qui vise à améliorer l’efficacité des scanners automatisés dédiés à la sécurité des applications Web en les évaluant avec une large gamme de XSS et de quelques autres vulnérabilités Web exploitées à ce jour.
Firing Range prévoit essentiellement un environnement de test principalement pour les attaques de type cross-site scripting (XSS) que l’on voit le plus souvent dans les applications Web. Selon l’ingénieur de sécurité Google Claudio Criscione, 70% des bugs dans le cadre du programme de récompense vulnérabilité de Google (BugBounty) sont des failles cross-site scripting. En plus des vulnérabilités XSS, le nouveau scanner Web de Google gère aussi le clickjacking inversé, l’injection Flash, et autres vulnérabilités annexes.
Firing Range a été développé par Google avec l’aide de chercheurs en sécurité au Politecnico di Milano dans un effort commun pour construire un terrain d’essai pour les scanners automatisés. La société a utilisé Firing Range “à la fois comme une aide et comme moteur de développement, en définissant autant de types de vulnérabilités que possible, y compris certaines que nous ne pouvons pas encore détecter“.
Ce qui le rend différent des autres applications de test de vulnérabilités disponibles est sa capacité à utiliser l’automatisation, ce qui rend plus productif. Au lieu de se concentrer sur la création de bancs d’essai réalistes, Firing Range repose sur l’automatisation basée sur une collection de modèles uniques de bogues tirées directement sur le Web, observés au préalable par Google. Firing Range est une application Java qui a été construite sur Google App Engine.
«Notre banc d’essai ne cherche pas à imiter une application réelle, ni exercer les fonctions d’un scanner : c’est une collection de modèles de bogues uniques tirés de vulnérabilités que nous avons pu observer sur le Web, visant à vérifier les capacités de détection des outils de sécurité“, explique Criscione sur le blog de Google dédié à la sécurité en ligne.
Une version de l’outil est d’ores-et-déjà disponible (public-firing-range.appspot.com) et puisque l’outil est open source, vous pouvez également trouver et vérifier le code source sur GitHub. Les utilisateurs sont encouragés à contribuer à l’outil.
Les commentaires sont fermés.