Google Lemon: herramienta de uso interno para detectar vulnerabilidades XSS
Las vulnerabilidades XSS han sido muy frecuentes
durante los últimos años en las aplicaciones de Google
([1],
[2],
[3],
[4],
[5],
[6]), y han permitido que
cualquier atacante con los sufucientes conocimientos se haya podido hacer con la
cuenta de usuario de Google de otra persona, mediante
redirecciones JavaScript a terceras páginas que almacenan la cookie de esta persona.
Estas vulnerabilidades suponen una mala reputación para una compañía como Google, que almacena una gran cantidad
de datos muy personales y que pueden ser accesibles si alguien se hace con nuestra cuenta: contenidos de email,
búsquedas realizadas, información de nuestro disco duro, números de cuenta, ...
Por ello, se pusieron hace unos meses manos a la obra y, como aseguran en
este post
oficial, han creado una herramienta propia para detectar vulnerabilidades de este tipo. A pesar de los diferentes
'fuzzers' de seguridad que existen para descubrir 'agujeros', y que realizan repetidas pruebas sobre las aplicaciones,
los responsables de Google decidieron crear una tecnología propia que se adapta a sus propias necesidades.
La aplicación se llama 'Google Lemon', y también lleva a cabo numerosos tests para descubrir multitud
de vulnerabilidades, las cuales por ejemplo podemos ver enumeradas en la famosa
'Chuleta de XSS', creada por el responsable de 'ha.ckers.org', el sitio
web donde frecuentemente salen a luz agujeros encontrados en Google.
'Google Lemon' es un producto de uso interno de los ingenieros de Google, y no se tienen planes de lanzarlo para el resto
de desarrolladores.
Publicado el 22 de julio de 2007 | Categoría: tecnologia
 enrique, el 15 de abril de 2008 a las 23:53h ( CET), dijo:
 muy buena info
Puedes dejar un comentario sobre la noticia del post rellenando y enviando el siguiente formulario. Los campos marcados con asterisco (*) son obligatorios.
|
