Lemon провежда т.нар. fuzz-тестване ? автоматично изпраща специален ?вредоносен? код към Web приложенията с цел да изпробва тяхната устойчивостЕкип от специалисти по ИТ сигурност на Google създава скенер за уязвимости с отворен код. Разработката се нарича Lemon и ще се използва вътрешно в компанията. Не се планира пускането и на пазара, съобщава The Register .
Скенерът провежда т.нар. fuzz-тестване – автоматично изпраща специален „вредоносен” код към Web приложенията с цел да изпробва тяхната устойчивост.
На пазара се предлагат доста fuzz-инструменти, включително и разработка в рамките на проекта OWASP (Open Web Application Security Project). В тях обаче се задават конкретни параметри с които се извършва проверката за уязвимост, а така процесът е доста бавен. Lemon сканира Web приложенията автоматично за разнообразни пролуки в сигурността, включтелно за:
- междупотребителски дифейс – временна подмяна на съдържанието на страницата, разглеждана от посетителя с цел кражба на реквизити;
- заразяване на Web кеша;
- модификация на cookies за заобикаляне на процедурата по автентификация;
- и т.н.
Fuzz инструментите имат двойно предназначение - с тяхна помощ специалистите по ИТ сигурност могат да проверяват защитеността на корпоративните приложения, а хакерите – произволни сайтове. Точно затова в Google са решили да не пускат продукта на пазара.
Виж още
4 подхода към защитата на операционните системи (CIO 6/2007)
Ново ниво на мрежовата сигурност с концепцията NAC (CIO 6/2007)
Глобалният пазар на средства за ИТ сигурност продължава да расте с над 15% годишно
Източник: IDG.BG
