Google出品:开源Web App漏洞测试环境 – Firing Range

Google于周二发布了一个名为Firing Range的安全漏洞测试环境,旨在通过评估Web应用在XSS和其他方面的安全性,提高自动化扫描器的效率。

Firing Range是由Google与米兰理工大学的安全研究员合作开发的,目的是为自动化扫描器建造一个“试验场”。Google公司自己也在使用Firing Range,目的“一是帮助我们测试,二是定义尽可能多的漏洞类型,包括一些我们目前尚且不能检测的”。

这款漏洞测试应用于其他产品不同的便是它自动化的能力,这样的能力使得效率大大提升。Firing Range依赖基于Google从互联网中收集的独特的漏洞模式。

支持测试的漏洞类型

Firing Range提供了一个测试环境,主要测试跨站脚本漏洞(XSS),跨站脚本在Web应用中十分常见,Claudio Criscione,Google安全工程师称,Google漏洞奖励计划中70%的漏洞都是XSS漏洞。

除了XSS漏洞这款扫描器也会扫描其他了新的漏洞包括点击劫持、Flash注入、混合活动内容和跨域资源共享漏洞。

运行方式

Firing Range是一款运行在Google App Engine上的Java应用。扫描器中包含一些针对DOM型XSS、重定向漏洞、反射型XSS和远程包含漏洞的规则。

Criscione在Google在线安全博客解释道:“我们的测试床(testbed)不是要去模拟真实的应用或者训练扫描器的爬取能力:我们是要通过收集漏洞寻找到他们的模式,验证安全工具的检测能力。”

Firing Range工具是Google在制作Inquisition时开发的,Inquisition是一款基于Google Chrome和云平台技术的内置web应用安全扫描工具,工具支持新的HTML5,误报率低。

你可以访问已经部署在Google App Engine的Firing Range,也可以在GitHub查看它的源码