Google lanzó gratuitamente su herramienta para escaneo de vulnerabilidades web a la cual llamó Google Cloud Security Scanner, potencialmente buscará vulnerabilidades comunes de seguridad en las aplicaciones de los desarrolladores de su plataforma en la nube de forma más efectiva.

Google lanzó el Google Cloud Security Scanner en versión beta. El nuevo escáner de vulnerabilidades web permite a los desarrolladores del App Engine revisar regularmente sus aplicaciones para buscar las 2 vulnerabilidades web más comunes:

• Cross-Site Scripting (XSS)
• Scripts de contenido variado

A pesar de la gran cantidad de escáneres gratuitos para vulnerabilidades en aplicaciones web y herramientas de valoración disponibles en el mercado, Google dice que esos escáner son difíciles de configurar y "construidos para profesionales de seguridad", no para desarrolladores de aplicaciones web que ejecutan sus aplicaciones en el Google App Engine.

Mientras que Google Cloud Security Scanner puede ser sencillo en su uso para los desarrolladores. Este escáner de vulnerabilidades para aplicaciones web busca Cross-Site Scripting (XSS) y fallos en el contenido de los scripts, los cuales según la compañía, son las vulnerabilidades más comunes a las que los desarrolladores de Google App Engine se enfrentan.

Actualmente, las aplicaciones HTML5 y las basadas en JavaScript son más difíciles de mapear y probar. Google Cloud Security Scanner indica que tomará un nuevo enfoque mediante el análisis de código y al ejecutar un render completo del sitio para encontrar áreas más complejas.

Los desarrolladores pueden acceder al escáner mediante: Compute > App Engine > Security en la consola de desarrollo de Google. Esto ejecutará un primer escaneo. No funciona con el App Engine gestionado con máquinas virtuales, Google Computer Engine u otros recursos.

Google indica que hay dos enfoques principales sobre este tipo de análisis de seguridad:

Analizar el HTML y simular un navegador. Esto es rápido, sin embargo, implica la pérdida de acciones sobre el sitio que requiere el DOM completo u complejas operaciones de JavaScript.

Usar un navegador real. Este enfoque evita la interrupción de la cobertura del análisis y simula la experiencia del sitio. Sin embargo, puede ser lento debido a la ejecución dinámica y el tiempo necesario para que el DOM se asiente.

El jefe de Security Engineering, Rob Mann dijo que su escáner de vulnerabilidades web usa Google Compute Engine para generar dinámicamente una botnet de cientos de procesos virtuales de Chrome que pueden revisar a una tasa máxima de 20 peticiones por segundo, así que los sitios objetivo no sufrirán sobrecarga.

"Cloud Security Scanner aborda las debilidades de (navegadores reales o simulados) mediante el uso de una tubería de múltiples etapas", escribió Mann en una entrada de blog. "Como todos los escáner dinámicos de vulnerabilidades, una explotación limpia no necesita necesariamente significa que estás libre de fallos".

El gigante de los buscadores aún recomienda a los desarrolladores leer el manual de seguridad para aplicaciones web de los profesionales en seguridad, para estar más seguros. Sin embargo, la compañía espera que su herramienta de escaneo de vulnerabilidades proporcione definitivamente una solución simple a los fallos más comunes en App Engine con un mínimo de falsos positivos.