Nuevas Herramientas de Seguridad de Google

Nuevas Herramientas de Seguridad de Google

A finales del año 2014, google lanzó una herramienta de vulnerabilidades orientada a aplicaciones web, con el nombre de Firing Range. La aplicación sigue evolucionando, y presenta funcionalidades interesantes que nos pueden ayudar a detectar problemas de seguridad importantes en nuestra web.

Echando un vistazo a la herramienta, se puede verificar que es una herramienta de tipo test bed (banco de pruebas) , por lo que el objetivo principal de la misma es la de verificar la capacidad de detección de las herramientas de vulnerabilidades que utilizamos actualmente.

En el siguiente enlace, se puede ver un ejemplo de la herramienta, accesible de forma pública:
https://public-firing-range.appspot.com/

En este ejemplo, aparecen las siguientes verificaciones:
• Address DOM XSS
• Redirect XSS
• Reflected XSS
• Tag based XSS
• Escaped XSS
• Remote inclusion XSS
• DOM XSS
• CORS related vulnerabilities
• Flash Injection
• Mixed content
• Reverse ClickJacking

La herramienta se integra con el motor Google Apps. Se puede encontrar más información sobre el proyecto en: https://github.com/google/firing-range

Habrá que estar atentos en los próximos meses a este proyecto, y su evolución, y tenerlo en cuenta con respecto a las herramientas de detección que utilicemos, ya que la misma puede indicarnos que alguna de estas herramientas no está siendo eficaz.
Por parte de google, se puede ver un movimiento claro hacia el desarrollo de aplicaciones que permitan la detección de problemas de seguridad, no solo por la herramienta Firing Range, sino también por otra herramienta denominada Nogotofail. En el caso de esta última, se trata de una aplicación escrita en Python que permite detectar vulnerabilidades de SSL y HTTPs en sites web.

Se puede encontrar información sobre el proyecto, así como la descarga del fichero py en: https://github.com/google/nogotofail

Con la publicación de estas herramientas se puede ver una orientación clara de google hacia el desarrollo de aplicaciones que ayuden a programadores y a administradores y sistemas a verificar que sus aplicaciones son seguras.

Estaremos pendientes durante los próximos meses a posibles nuevos proyectos de google en el campo de la Seguridad de aplicaciones.

José Fco Lendínez. Dpto Seguridad TIC.

Áudea Seguridad de la Información