Google hat seine Cloud Platform um eine Funktion erweitert, mit der Nutzer der Entwicklungsplattform App Engine ihre Web-Anwendungen auf Sicherheitslücken prüfen können. Der neue Cloud Security Scanner, der zunächst als Beta vorliegt, ist in der Lage, zwei Arten gängiger Schwachstellen aufzudecken: Cross-Site-Scripting (XSS) und gemischte Inhalte.
Weil moderne Web-Apps, die viel HTML 5 und JavaScript verwenden, schwieriger zu durchforsten und zu testen sind als eine simple HTML-Seite, hat Google bei seinem Scanner nach eigenen Angaben einen völlig neuen Ansatz gewählt. Nach dem Parsen des HTML-Codes rendert er die vollständige Site, um komplexere Bereiche zu identifizieren.
Mithilfe von Googles Compute Engine erstellt die Lösung dann dynamisch „ein Botnetz aus hunderten virtuellen Chrome-Arbeitern, um Ihre Seite zu scannen“, erklärt Rob Mann, Security Engineering Manager bei Google, in einem Blogbeitrag. Bei jedem Scan sei die Zahl der Anfragen auf maximal 20 pro Sekunde limitiert.
In einem weiteren Test auf Cross-Site-Scripting, das Hackern das Einschleusen von Schadcode in eine gehostete Web-App erlaubt, führt Google einen „Angriff“ auf die Site aus, allerdings in einer sicheren und kontrollierten Weise. Es nutzt ein gutartiges Payload, um herauszufinden, ob eine Web-Anwendung anfällig ist. Dabei sollen nahezu keine False Positives auftreten.
Allerdings räumt Mann ein, dass der Cloud Security Scanner keine vollständige Sicherheit biete. Daher empfehle sich zusätzlich eine manuelle Überprüfung des Codes durch einen Web-App-Sicherheitsspezialisten.
Der neue Service ist Teil von Googles Bemühungen, Sicherheitslücken in verbreiteter Software und webbasierten Diensten auszumerzen. Allerdings ist es dabei in den letzten Wochen und Monaten teilweise über das Ziel hinausgeschossen.
Im Rahmen seiner Sicherheitsinitiative Project Zero machte Google zuletzt mehrfach Zero-Day-Lücken in Windows öffentlich, obwohl Microsoft darum gebeten hatte, damit noch einige Tage zu warten, bis ein entsprechender Patch bereitstehe. Daraus entbrannte ein Streit zwischen beiden Konzernen. Google begründete die Offenlegung stets mit einer 90-tägigen Sperrfrist. Diese will es aber künftig unter bestimmten Umständen verlängern, sodass Hersteller mehr Zeit haben, Schwachstellen zu beseitigen. Das gilt beispielsweise, wenn das Fristende auf ein Wochenende oder einen Feiertag fällt. Ebenso will Google mit der Offenlegung warten, wenn bereits ein baldiger Patch angekündigt wurde.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
