Google hat seine Cloud Platform um eine Funktion erweitert, mit der Nutzer der Entwicklungsplattform App Engine ihre Web-Anwendungen auf Sicherheitslücken prüfen können. Der neue Cloud Security Scanner, der zunächst als Beta vorliegt, ist in der Lage, zwei Arten gängiger Schwachstellen aufzudecken: Cross-Site-Scripting (XSS) und gemischte Inhalte.
Weil moderne Web-Apps, die viel HTML 5 und JavaScript verwenden, schwieriger zu durchforsten und zu testen sind als eine simple HTML-Seite, hat Google bei seinem Scanner nach eigenen Angaben einen völlig neuen Ansatz gewählt. Nach dem Parsen des HTML-Codes rendert er die vollständige Site, um komplexere Bereiche zu identifizieren.
Nach einem Prüfvorgang gibt der Google Cloud Security Scanner eine Ergebnisübersicht aus (Bild: Google).
Mithilfe von Googles Compute Engine erstellt die Lösung dann dynamisch „ein Botnetz aus hunderten virtuellen Chrome-Arbeitern, um Ihre Seite zu scannen“, erklärt Rob Mann, Security Engineering Manager bei Google, in einem Blogbeitrag. Bei jedem Scan sei die Zahl der Anfragen auf maximal 20 pro Sekunde limitiert.
In einem weiteren Test auf Cross-Site-Scripting, das Hackern das Einschleusen von Schadcode in eine gehostete Web-App erlaubt, führt Google einen „Angriff“ auf die Site aus, allerdings in einer sicheren und kontrollierten Weise. Es nutzt ein gutartiges Payload, um herauszufinden, ob eine Web-Anwendung anfällig ist. Dabei sollen nahezu keine False Positives auftreten.
Allerdings räumt Mann ein, dass der Cloud Security Scanner keine vollständige Sicherheit biete. Daher empfehle sich zusätzlich eine manuelle Überprüfung des Codes durch einen Web-App-Sicherheitsspezialisten.
Der neue Service ist Teil von Googles Bemühungen, Sicherheitslücken in verbreiteter Software und webbasierten Diensten auszumerzen. Allerdings ist es dabei in den letzten Wochen und Monaten teilweise über das Ziel hinausgeschossen.
Im Rahmen seiner Sicherheitsinitiative Project Zero machte Google zuletzt mehrfach Zero-Day-Lücken in Windows öffentlich, obwohl Microsoft darum gebeten hatte, damit noch einige Tage zu warten, bis ein entsprechender Patch bereitstehe. Daraus entbrannte ein Streit zwischen beiden Konzernen. Google begründete die Offenlegung stets mit einer 90-tägigen Sperrfrist. Diese will es aber künftig unter bestimmten Umständen verlängern, sodass Hersteller mehr Zeit haben, Schwachstellen zu beseitigen. Das gilt beispielsweise, wenn das Fristende auf ein Wochenende oder einen Feiertag fällt. Ebenso will Google mit der Offenlegung warten, wenn bereits ein baldiger Patch angekündigt wurde.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Neueste Kommentare
Noch keine Kommentare zu Google Cloud Security Scanner prüft Web-Apps auf Sicherheitslücken
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.