Google liberou seu próprio scanner de segurança do aplicativo, potencialmente salvando admins de ofertas 'complicados' existentes.
O scanner irá verificar o código em execução no App Engine para cross-site scripting (XSS) e vulnerabilidades de conteúdo misto.
O chefe de engenharia Choc Fábrica Rob Mann diz que seu scanner usa sua Compute Engine para forjar um grande botnet que digitalizar a uma taxa máxima de 20 pedidos de uma segunda parada em 100.000 pedidos de grandes varreduras.
"Security Scanner Nuvem aborda os pontos fracos do [Navegadores reais e emulados] usando um oleoduto multi-estágio", Mann diz .
"Como acontece com todos os scanners de vulnerabilidade dinâmicos, uma varredura limpa não significa necessariamente que você é erro de segurança gratuito.
"Nós ainda recomendar uma revisão de segurança manual, o seu profissional e simpático segurança app web."
Mann diz que a ferramenta tem como objetivo detectar os problemas mais comuns devs enfrentam ao trabalhar com aplicativos Java-embebidas.
Ele irá marcar conteúdo misto, observando passivamente o tráfego HTTP para Java ou CSS pedidos são executados através de HTTP, no contexto de uma página HTTPS.
Mann diz que o scanner foi diferente de jogadores populares estabelecidos "propensos ao excesso de relatar" na medida em que é feita sob medida para devs Google App, em vez de boffins de segurança e é mais fácil de configurar.
Sua abordagem significam falsos positivos são quase ausente e o processo requer pouco esforço e produz o mínimo de ruído à custa de perder alguns bugs específicos da aplicação.
Devs pode acessar o scanner sob Compute> App Engine> Segurança no do Google Developers Console. Ele não funciona com o Google App Engine Dirigido VMs, o Google Compute Engine, ou outros recursos. ®
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário