Google está trabajando en una herramienta de seguridad, cuyo nombre en código es Lemon, para detectar vulnerabilidades en sus aplicaciones web.
La herramienta, que según Google se deriva del término para un producto defectuoso, funciona probando fuzz o inyección de error, que prueba en fuerza bruta al proporcionar datos aleatorios que están diseñados para desencadenar y exponer defectos en las aplicaciones web. Lemon es un probador de caja negra que no requiere conocimiento de la estructura interna de una aplicación o dispositivo.
Según Srinath Anantharaju, miembro del equipo de seguridad de Google, Lemon se desarrolló para detectar vulnerabilidades de secuencias de comandos en sitios cruzados (XXS), pero Google está «en el proceso de agregar nuevos vectores de ataque para mejorar la herramienta contra [other] problemas de seguridad conocidos”.
«Nuestra herramienta de prueba de vulnerabilidad enumera las URL de una aplicación web y los parámetros de entrada apropiados», escribió Anantharaju en el blog de seguridad en línea de Google. «Luego proporciona iterativamente cadenas de error diseñadas para exponer XSS y otras vulnerabilidades a cada entrada y analiza las respuestas resultantes en busca de evidencia de tales vulnerabilidades».
Los ataques XSS generalmente funcionan inyectando código en aplicaciones web con fines maliciosos. Un atacante puede inyectar código en una aplicación web, que luego se ejecuta en la sesión del navegador de un usuario. Los piratas informáticos también pueden comprometer a los usuarios enviando un correo electrónico con una URL maliciosa que, cuando se hace clic, carga una página web e inyecta un script que se ejecuta en una sesión del navegador.
Google tiene la intención de usar la herramienta para probar sus propias aplicaciones web y no lanzará Lemon en un futuro cercano porque está «muy personalizado» para esas aplicaciones, según Anantharaju. El equipo de seguridad de Google evaluó los fuzzers disponibles comercialmente, pero consideró que «las necesidades especializadas de la empresa podrían satisfacerse mejor desarrollando nuestras propias herramientas».
Varios fuzzers de código abierto están disponibles en línea, mientras que también hay disponibles fuzzers comerciales.
Tom Espine reportó para Reino Unido de Londres
